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内 容 简 介 


本 书 介绍 了 计算 机 网 络 安全 与 管理 技术 ,是 面向 高 职高 专 计算 机 网 络 技术 专业 的 教材 。 

本 书 以 一 个 模拟 网 络 工程 为 主线 ,分 析 网 络 工程 中 的 安全 管理 需求 ,根据 需求 制定 工程 任务 ,按照 
任务 介绍 必 备 的 知识 ,提出 模拟 工程 中 的 解决 方案 ,完成 方案 配置 。 

本 书 共 分 7 章 ,内 容 包括 模拟 网 络 工程 环境 和 模拟 网 络 工程 中 的 网 络 安 全 与 管理 需求 分 析 、 访 问 控 
制 列表 技术 、 局 域 网 安全 、 网 络 地 址 转换 技术 、VPN 技术 、 防 火 墙 技术 、 网 络 管理 技术 。 

本 书 可 以 作为 高 职高 专 计算 机 网 络 技 术 及 相关 专业 的 教材 ,也 可 以 作为 网 络 工程 技术 人 员 和 本 科 
院 校 学 生 的 参考 书 。 


本 书 封 面 贴 有 清华 大 学 出 版 社 防伪 标签 ,无 标签 者 不 得 销售 。 
版 权 所 有 ,侵权 必 究 。 侵 权 举报 电话 : 00 13701121933 
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出 版 说 明 


高 职高 专 教育 是 我 国 高 等 教育 的 重要 组 成 部 分 ,担负 着 为 国家 培养 并 输送 生产 、 建 
设 ,管理 ,服务 第 一 线 高 素质 技术 应 用 型 人 才 的 重任 。 

进入 21 世纪 后 ,高 职高 专 教育 的 改革 和 发 展 呈 现 出 前 所 未 有 的 发 展 势 头 , 学 生 规模 已 
占 我 国 高 等 教育 的 半壁 江山 ,成 为 我 国 高 等 教育 的 一 支 重要 的 生力军 ; 办 学 理念 上 ,“ 以 就 
业 为 导向 ?成 为 高 等 职业 教育 改革 与 发 展 的 主旋律 。 近 两 年 来 ,教育 部 召开 了 三 次 产 学研 交 
流 会 ,并 启动 四 个 专业 的 “国家 技能 型 紧缺 人 才 培 养 项 目 ”, 同 时 成 立 了 35 所 示范 性 软件 职 
业 技 术 学 院 , 进 行 两 年 制 教学 改革 试点 。 这 些 举 措 都 表明 国家 正在 推动 高 职高 专 教育 进行 
深层 次 的 重大 改革 ,向 培养 生产 、 服 务 第 一 线 真正 需要 的 应 用 型 人 才 的 方向 发 展 。 

为 了 顺应 当前 我 国 高 职高 专 教育 的 发 展 形势 ,配合 高 职高 专 院 校 的 教学 改革 和 教材 
建设 ,进一步 提高 我 国 高 职高 专 教育 教材 质量 ,在 教育 部 的 指导 下 ,清华 大 学 出 版 社 组 织 
出 版 了 “21 世纪 高 职高 专 规划 教材 ”。 

为 推动 规划 教材 的 建设 ,清华 大 学 出 版 社 组 织 并 成 立 了 “高 职高 专 教育 教材 编审 委员 
会 ”, 旨 在 对 清华 版 的 全 国 性 高 职高 专 教材 及 教材 选 题 进行 评审 ,并 向 清华 大 学 出 版 社 推 
荐 各 院 校 办 学 特色 鲜明 、 内 容 质 量 优秀 的 教材 选 题 。 教 材 选 题 由 个 人 或 各 院 校 推荐 ,经 编 
审 委员 会 认真 评审 ,最 后 由 清华 大 学 出 版 社 出 版 。 编 审 委员 会 的 成 员 皆 来 自 教改 成 效 大 、 
办 学 特色 鲜明 师资 实力 强 的 高 职高 专 院 校 . 普 通 高 校 以 及 著名 企业 ,教材 的 编写 者 和 审 
定 者 都 是 从 事 高 职高 专 教育 第 一 线 的 骨干 教师 和 专家 。 

编审 委员 会 根据 教育 部 最 新 文件 和 政策 ,规划 教材 体系 ,比如 部 分 专业 的 两 年 制 教材 ; 
“以 就 业 为 导向 ”, 以 “专业 技能 体系 ”为 主 .突出 人 才 培 养 的 实践 性 、 应 用 性 的 原则 ,重新 组 织 
系列 课程 的 教材 结构 ,整合 课程 体系 ; 按照 教育 部 制定 的 “高 职高 专 教育 基础 课程 教学 基本 
要 求 ”, 教 材 的 基础 理论 以 “必要 、 够 用 ”为 度 , 突 出 基础 理论 的 应 用 和 实践 技能 的 培养 。 

本 套 规划 教材 的 编写 原则 如 下 : 

(1) 根据 岗位 群 设置 教材 系列 ,并 成 立 系列 教材 编审 委员 会 ; 

(2) 由 编审 委员 会 规划 教材 ,评审 教材 ; 

CD 重点 课程 进行 立体 化 建设 ,突出 案例 式 教学 体系 ,加 强 实 训 教 材 的 出 版 ,完善 教 
学 服务 体系 ; 

(4) 教材 编写 者 由 具有 丰富 的 教学 经 验 和 多 年 实践 经 历 的 教师 共同 组 成 ,建立 " 双 师 
型 "编者 体系 。 

本 套 规划 教材 涵盖 了 公共 基础 课 、 计 算 机 、 电 子 人 信息、 机械、 经济 管理 以 及 服务 等 大 类 
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的 主要 课程 ,包括 专业 基础 课 和 专业 主干 课 。 目 前 已 经 规划 的 教材 系列 名 称 如 下 : 


。 公共 基础 课 。 机 械 类 
公共 基础 课 系列 机 械 基础 系列 
机 械 设计 与 制造 专业 系列 
SHINE 数控 技术 系列 
计算 机 基础 教育 系列 模具 设计 与 制造 系列 
计算 机 专业 基础 系列 — 
计算 机 应 用 系列 Eyes 
网 络 专业 系列 eke 
软件 专业 系列 f 
电子 商务 专业 系列 Me 
企业 管理 系列 
。 电 子 信息 类 物流 管理 系列 
财政 金融 系列 
电子 信息 基础 系列 EAE XA 
微 电 子 技术 系列 
通信 技术 系列 ”服务 类 
电气 .自动 化 ,应 用 电子 技术 系列 艺术 设计 系列 


本 套 规 划 教材 的 系列 名 称 根据 学 科 基 础 和 岗位 群 方向 设置 ,为 各 高 职高 专 院 校 提供 
“自助 餐 ” 形 式 的 教材 。 各 院 校 在 选择 课程 需要 的 教材 时 ,专业 课程 可 以 根据 岗位 群 选择 
系列 ; 专业 基础 课程 可 以 根据 学 科 方 向 选择 各 类 的 基础 课 系 列 。 例 如 ,数控 技术 方向 的 
专业 课程 可 以 在 “数控 技术 系列 ”选择 ; 数控 技术 专业 需要 的 基础 课程 ,属于 计算 机 类 课 
程 的 可 以 在 “计算 机 基础 教育 系列 ”和 “计算 机 应 用 系列 ”选择 ,属于 机 械 类 课程 的 可 以 在 
“机 械 基 础 系列 ”选择 ,属于 电子 信息 类 课程 的 可 以 在 “电子 信息 基础 系列 "选择 。 依 此 
类 推 。 

为 方便 教师 授课 和 学 生 学 习 , 清 华 大 学 出 版 社 正在 建设 本 套 教材 的 教学 服务 体系 。 
本 套 教 材 先期 选择 重点 课程 和 专业 主干 课程 ,进行 立体 化 教材 建设 : 加 强 多 媒体 教学 课 
件 或 电子 教案 .素材 库 ,学习 盘 .学习 指导 书 等 形式 的 制作 和 出 版 ,开发 网 络 课程 。 学 校 在 
选用 教材 时 ,可 通过 邮件 或 电话 与 我 们 联系 获取 相关 服务 ,并 通过 与 各 院 校 的 密切 交流 ， 
使 其 日 至 完善 。 

高 职高 专 教育 正 处 于 新 一 轮 改 革 时 期 ,从 专业 设置 .课程 体系 建设 到 教材 编写 ,依然 
是 新 课题 。 希 望 各 高 职高 专 院 校 在 教学 实践 中 积极 提出 意见 和 建议 ,并 向 我 们 推荐 优秀 
选 题 。 反 馈 意见 请 发 送 到 E-mail: gzgz@tup. tsinghua. edu. cn。 清 华 大 学 出 版 社 将 对 已 
出 版 的 教材 不 断 地 修订 、 完 善 ,提高 教材 质量 ,完善 教材 服务 体系 ,为 我 国 的 高 职高 专 教育 
出 版 优秀 的 高 质量 的 教材 。 


高 职高 专 教育 教材 编审 委员 会 
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本 书 是 一 本 面向 高 等 职业 教育 的 教材 ,是 计算 机 网 络 技术 专业 系列 教材 之 一 。 

在 计算 机 网 络 技术 专业 建设 中 ,从 网 络 工程 、 网 络 管理 岗位 需求 出 发 ,我 们 将 专业 技 
能 重点 放 在 网 络 技术 和 网 站 技术 两 个 方面 。 该 专业 系列 教材 中 ,将 网 络 技术 分 为 (计算 机 网 
络 技术 基础 《计算 机 网 络 集成 技术 》《 计 算 机 网 络 安全 与 管理 ) 和 《网 络 操 作 系 统 》4 门 课 
程 ; 网 站 技术 主要 包括 《网 页 制作 工具 》《 网 络 数据 库 》《 动 态 网 站 技术 》 和 (《. NET 网 站 技 
AR) 4 门 课程 。 本 书 主要 介绍 网 络 安全 技术 和 基本 的 网 络 管理 知识 与 基本 管理 技能 。 

本 书 以 一 个 模拟 的 网 络 工程 为 主线 ,分 析 网 络 工程 中 的 安全 需求 与 管理 任务 ; 按照 
需求 制定 工程 任务 ,按照 任务 需要 介绍 必 备 的 知识 ,提出 模拟 工程 中 的 解决 方案 ,完成 方 
案 配 置 。 本 书 内 容 既 以 工程 需求 为 主 ,同时 还 照顾 了 知识 体系 的 完整 性 与 系统 性 。 为 了 
便于 学 生 在 实验 室 中 对 解决 方案 的 配置 .验证 和 测试 , 书 中 给 出 了 一 个 网 络 安全 与 管理 实 
训 工 程 环境 , 实 训 环境 可 使 用 实际 网 络 设备 实现 ,也 可 使 用 模拟 器 软件 实现 。 第 2 章 至 第 
7 章 的 每 章 章 后 都 有 实 训 内 容 和 实 训 指 导 , 让 学 生根 据 在 模拟 工程 实践 中 学 到 的 知识 技 
能 完成 实 训 项 目 ,提高 学 生 的 动手 能 力 与 实践 技能 。 

本 书 共 分 7 章 。 第 1 章 介绍 模拟 网 络 工程 环境 和 模拟 网 络 工程 中 的 网 络 安全 与 管理 
需求 分 析 ; 第 2 章 介绍 访问 控制 列表 技术 ,根据 工程 任务 安全 需求 分 析 ,解决 网 络 边界 访 
问 控制 配置 问题 ; 第 3 章 介绍 局 域 网 安全 ,根据 工程 任务 安全 需求 分 析 , 解 决 局 域 网 中 安 
全 配置 问题 ; 第 4 章 介绍 网 络 地 址 转换 技术 ,根据 工程 任务 安全 需求 分 析 , 解 决 网 络 中 使 
用 路 由 器 进行 内 外 网 地 址 转换 的 配置 问题 ; 第 5 章 介绍 VPN 技术 ,根据 工程 任务 安全 需 
求 分 析 , 解 决 利用 Internet 线路 进行 安全 通信 配置 问题 ; 第 6 章 介 绍 防 火 墙 技术 ,根据 工 
程 任务 安全 需求 分 析 , 解 决 网 络 边 界 安全 中 防火 墙 基 本 配置 问题 ; 第 7 章 介绍 网 络 管理 
技术 ,包括 基本 网 络 管理 知识 和 常用 的 网 络 管理 工具 。 附 录 中 介绍 了 如 何 利用 网 络 模拟 
器 GNS3 搭建 模拟 实 训 环 境 。 本 书 中 的 网 络 设备 都 是 以 Cisco 为 例 介绍 的 。 

本 书 由 田 庚 林 主 持 编 写 ,具体 章节 由 田 华 、 张 少 芳 编写 完成 。 其 中 , 田 庚 林 主 要 参与 
了 内 容 的 组 织 策划 和 统 稿 审定 工作 ,第 3 章 和 第 4 章 由 张 少 芳 编写 完成 ,其 余 章 节 由 田 华 
编写 完成 。 

由 于 计算 机 网 络 技术 发 展 更 新 较 快 , 作 者 水 平 有 限 , 书 中 的 不 足 之 处 望 广大 读者 批评 
指正 。 作 者 E-mail: tiangl163@163. com, 


编 者 
2009 £ 12 月 
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第 1 章 


计算 机 网 络 安全 与 管理 任务 分 析 


任何 一 个 实际 运行 的 计算 机 网 络 系统 ,特别 是 较 大 型 的 企业 网 络 系 统 ,为 保证 其 安 
全 可靠 地 运行 ,必须 建立 相应 的 网 络 安全 与 管理 方案 ,以 减少 各 种 潜在 网 络 安 全 风险 和 
网 络 性 能 瓶颈 对 信息 系统 正常 运行 的 影响 。 本 书 以 一 个 典型 的 跨 地 区 公司 网 络 系 统 为 
例 , 按 照 实际 网 络 工 程 项 目 过 程 , 先 分 析 其 中 所 需 解 决 的 网 络 安 全 与 管理 问题 ,然后 介绍 
解决 这 些 问题 所 需 的 知识 和 技术 ,最 后 给 出 这 些 问 题 的 相应 的 解决 方案 。 


1.1 公司 网 络 环境 


1.1.1 企业 网 络 应 用 概况 

某 大 型 新 兴 产 业 公 司 为 提高 生产 效率 , 拟 新 建 联通 各 地 分 公司 的 计算 机 网 络 。 该 公 
司 的 总 公司 及 其 直属 3 个 分 支 机 构 在 A 市 ,并 在 了 市 和 C 市 分 别 设 有 一 个 子 公司 和 两 个 
分 支 机 构 。 总 公司 和 分 公司 主要 负责 产品 的 研发 和 生产 , 设 有 管理 部 门 .研发 部 门 .市 场 
部 门 、 售 后 服务 部 门 和 生产 部 门 。 各 分 支 机 构 主要 负责 产品 销售 和 售 前 、 售 后 服务 , 设 有 
市 场 部 门 、 售 后 服务 部 门 和 管理 部 门 。 

公司 所 建 网 络 将 主要 承载 公司 内 部 OA 、 邮 件 .FTP、 远 程 教育 等 系统 和 面向 公众 提 
供 服务 的 电子 商务 网 站 系统 。 受 业务 发 展 、 系 统 性 能 等 诸多 方面 因素 影响 ,以 上 网 络 应 用 
系统 设计 在 总 公司 、 分 公司 分 别 设 有 网 络 应 用 及 数据 库 服务 器 ,而 在 分 支 机 构 只 设 网 络 
终端 。 
1.1.2 企业 网 络 拓扑 结构 

全 公司 的 网 络 拓扑 结构 如 图 1-1 所 示 。 总 公司 与 分 公司 利用 电信 专线 互联 ,而 为 节 
约 线路 成 本 ,总 /分 公司 与 其 下 属 分 支 机 构 通过 宽带 线路 接 人 本 地 Internet 实现 互联 。 

总 公司 局 域 网 的 网 络 拓扑 结构 按照 网 络 应 用 需求 分 为 核心 .汇聚 . 接 人 3 层 ,图 1-2 
为 总 公司 局 域 网 的 网 络 拓扑 结构 示意 图 。 为 了 保证 系统 的 安全 可 靠 性 ,在 各 交换 机 上 使 
用 了 双 宛 余 线路 设计 。 

分 公司 在 局 域 网 结构 . 链 路 元 余 等 方面 与 总 公司 类 似 。 但 分 支 机 构 B-1,C-1 网 络 规 
模 较 大 ,而 分 支 机 构 B-2、C-2 网 络 规模 较 小 ,分 支 机 构 的 网 络 拓扑 结构 如 图 1-3 所 示 。 
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公司 网 络 结构 


图 1-1 


图 1-2 总 公司 网 络 拓扑 结构 图 
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(a) 分 支 机构 B-1 、C-1 网 络 拓扑 (b) 分 支 机 构 B-2 、C-2 网 络 拓扑 


图 1-3 分 支 机 构 网 络 拓扑 结构 图 


1.2 模拟 公司 网 络 安全 及 管理 需求 


1.2.1 模拟 公司 的 网 络 安全 管理 需求 

目前 计算 机 网 络 面临 着 多 方面 的 安全 威胁 ,例如 ,物理 安全 威胁 、 网 络 通信 威胁 、 网 络 
服务 威胁 、 网 络 管理 威胁 等 ,模拟 公司 网 络 也 不 能 例外 。 本 书 将 重点 讨论 如 何 解决 网 络 通 
信安 全 威胁 问题 ,其 他 方面 的 解决 方法 可 参考 本 系列 教材 中 的 《计算 机 网 络 集成 技术 》 和 
《网 络 操作 系统 ) 两 书 。 

从 模拟 公司 网 络 环境 和 业务 需求 分 析 可 以 发 现 , 要 保证 该 网 络 安全 运行 ,需要 解决 以 
下 网 络 安全 问题 。 

(1) 由 于 连接 到 Internet, 所 以 必须 解决 来 自 Internet 的 网 络 入 侵 和 攻击 问题 。 

(2) 模拟 公司 与 分 支 机 构 间 使 用 Internet 线路 通信 ,必须 解决 通信 数据 安全 问题 。 

G) 由 于 公司 租用 的 TP 地 址 有 限 , 随 着 企业 网 络 规模 发 展 ,必须 解决 公司 网 络 中 IP 
地 址 资源 不 足 的 问题 。 

(4) 模拟 公司 网 络 不 是 单纯 的 生产 网 络 , 办 公 局 域 网 的 接 入 ,使 得 网 络 管理 人 员 必 须 
面 对 局 域 网 中 各 种 潜在 安全 威胁 ,如 病毒 问题 、 非 授权 访问 网 络 资源 问题 、 非 授权 变更 网 
络 结构 等 。 
1.2.2 模拟 公司 的 网 络 管理 需求 

要 保证 模拟 公司 网 络 安全 可靠 运行 ,必须 对 网 络 进行 管理 和 维护 。 在 网 络 管理 过 程 
中 ,需要 解决 以 下 问题 。 

CD 根据 网 络 需求 变化 ,使 用 工具 对 网 络 进行 配置 .调整 。 

(2) 当 网 络 发 生 故障 时 ,能 够 发 现 、 跟 踪 故 障 现象 ,记录 故障 状态 信息 ,分 析 故 障 原 
因 , 解 决 网 络 故障 。 

(3) 监控 ,记录 网 络 性 能 变化 ; 根据 网 络 需求 适当 调整 网 络 ,以 提高 网 络 性 能 。 

(4) 监控 ,记录 网 络 受到 安全 威胁 的 情况 ,检查 网 络 可 能 存在 的 安全 漏洞 或 隐患 ,并 
通过 访问 控制 等 手段 对 网 络 的 薄弱 环节 进行 改善 。 
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1.3 ”网络 安全 及 管理 实验 环境 


本 书 将 根据 以 上 网 络 安全 及 管理 方案 基本 设计 思路 ,逐个 解决 模拟 公司 网 络 中 的 安 
全 及 管理 方面 的 问题 ,介绍 相关 知识 ,提出 解决 方案 ,完成 相应 系统 配置 。 在 课程 学 习 过 
程 中 ,可 在 如 图 1-4 所 示 实 验 环境 中 进行 相应 配置 ,测试 网 络 安全 及 管理 方案 的 可 行 性 。 
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图 1-4 实验 网 络 拓扑 结构 图 


图 1-4 所 示 的 实验 网 络 拓扑 可 使 用 实际 网 络 设备 实 现 ,也 可 使 用 模拟 器 软件 实现 。 
为 便于 实验 ,简化 与 网 络 安全 ,管理 无 关 的 内 容 , 网 络 中 广域网 线路 可 使 用 以 太 网 线路 或 串 
行 口 的 背 对 背 线路 进行 模拟 ; 图 中 的 IDSVIPS 设备 也 可 使 用 安装 IDS 软件 的 计算 机 模拟 。 

该 模拟 网 络 实验 环境 的 硬件 系统 包括 如 下 内 容 。 

(1) 防火 墙 。 

(2) IDS 设备 (可 选 ) 。 

(3) 路 由 器 。 

(4) 二 层 、 三 层 交 换 机 。 

(5) PC。 

该 模拟 网 络 实验 环境 的 软件 系统 包括 如 下 内 容 。 

(D. Web,FTP, Mail 服务 软件 。 

(2) IDS 软件 。 

(3) VPN 客户 端 软 件 。 

(4) 网 络 管理 软件 ,例如 PRTG 等 。 

(5) 网 络 攻击 软件 ,例如 Smurf 等 。 


访问 控制 列表 技术 


本 章 任务 : 根据 工程 任务 安全 需求 分 析 , 解 决 网 络 边界 访问 控制 配置 问题 。 
必 备 知识 : (1) 无 状态 访问 控制 列表 技术 。 
(2) 有 状态 访问 控制 列表 技术 。 
(3) 基于 上 下 文 的 访问 控制 列表 技术 。 
学 习 目 标 : 利用 访问 控制 列表 技术 完成 模拟 公司 分 支 机 构 网 络 边 界 访问 控制 配置 ， 
防御 外 网 攻击 。 


2.1 模拟 公司 分 支 机 构 网 络 边界 安全 任务 分 析 


2.1.1 模拟 公司 分 支 机 构 网 络 边 界 安全 风险 分 析 

如 图 2-1 所 示 ,模拟 公 司 各 分 支 机 构 网 络 通 过 Internet 与 模拟 公司 其 他 网 络 相连 ,各 
分 支 机 构 网 络 内 设 有 可 24 小 时 连接 到 Internet 的 邮件 服务 器 ,周一 至 周 五 使 用 端口 
3000 一 3010 通过 Internet 连接 总 /分 公司 的 应 用 服务 器 ,24 小 时 可 通过 Internet SSH 连 
接 远程 管理 的 网 络 设备 。 由 于 Internet 的 开放 性 ,各 分 支 机 构 网 络 面临 以 下 安全 风险 。 

1. 恶意 用 户 对 分 支 网 络 进行 的 勘测 攻击 

勘测 攻击 是 一 种 对 网 络 进行 扫描 或 窍 听 , 试 图 获得 网 络 拓扑 、 网 络 中 主机 或 网 络 设备 
运行 应 用 软件 情况 的 攻击 方式 , 它 往往 是 恶意 用 户 对 网 络 实施 攻击 的 前 奏 。 勘 测 攻击 的 
两 种 常见 类 型 是 扫描 和 窃听 。 

常见 扫描 攻击 包括 IP 地 址 扫描 和 端口 扫描 。 通 过 ping 网 络 的 直接 广播 地 址 或 者 
ping 网 络 中 每 个 IP 地 址 ,恶意 用 户 就 可 以 对 网 络 实施 TP 地 址 扫描 ; 而 一 些 常用 端口 扫 
WTR ,也 可 以 通过 测试 是 否 可 以 与 网 络 中 主机 建立 各 类 服务 连接 来 探测 主机 上 打开 的 
网 络 服务 端口 情况 。 

勘测 攻 击 的 另 一 种 类 型 是 窃听 攻击 。 恶 意 用 户 可 以 通过 各 类 嗅 探 ,监听 软件 ,从 网 
络 流量 中 窃取 用 户 账 户 等 信息 。 但 此 类 攻击 一 般 只 能 在 本 地 网 络 中 实施 。 恶 意 用 户 
往往 通过 先 攻 陷 网 络 内 部 一 台 主 机 ,然后 在 这 台 主 机 上 运行 嗅 探 、 监 听 软 件 ,来 进行 此 
类 攻击 。 
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图 2-1 模拟 公司 网 络 间 连接 拓扑 示意 图 


2. 恶意 用 户 对 分 支 网 络 进行 的 访问 攻击 

访问 攻击 常见 类 型 包括 未 授权 访问 攻击 .数据 操纵 攻击 会话 攻击 等 。 

CD 未 授权 攻击 是 指 通过 口令 暴力 破解 .社会 工程 学 窃取 口令 等 试图 获得 访问 网 络 
权利 的 攻击 方式 。 

(2) 数据 操纵 攻击 是 指 对 网 络 服务 提供 的 数据 内 容 进行 修改 ,例如 改变 网 页 内 容 , 乱 
入 非法 插件 Java 小 程序 等 。 

(3) 会 话 攻击 是 指 在 会 话 层 实施 的 网 络 攻击 ,主要 类 型 包括 会 话 欺 骗 攻击 ,会话 重 放 
攻击 ,会 话 支持 攻击 。 

O 会 话 欺骗 攻击 是 指 通信 会 话 中 假冒 其 他 IP 地 址 的 攻击 行为 ,如 图 2-2 所 示 。 据 统 
计 , 大 约 65% 的 会 话 欺 骗 攻击 使 用 bogon 地 址 ( 即 未 被 分 配 的 地 址 ) ,包括 保留 地 址 .私有 
IP 地 址 等 ; 另外 恶意 用 户 常 假冒 内 网 合法 主机 发 动 会 话 欺 骗 攻 击 。 

© 会 话 重 放 攻 击 是 指 通过 监听 网 络 中 某 台 主机 的 数据 报 文 信息 ,然后 伪造 数据 报 文 
发 送 给 该 主机 的 攻击 行为 。 例 如 ,恶意 用 户 可 以 监听 用 户 在 线 交 易 信息 ,然后 伺机 发 送 假 
冒 信息 给 用 户 , 误 导 用 户 登 录 假冒 在 线 交 易 、 网 上 银行 网 站 。 会 话 重 放 攻击 如 图 2-3 
所 示 。 
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内 部 网 络 
E> 
C» ^ Éy- 
我 是 bogon, 我 是 PCa， 请 内 部 网 络 
请 给 我 回应 | 攻击 者 中 所 有 主机 响应 我 | | 攻击 者 
= = 
(a) (b) 
图 2-2 会 话 欺骗 攻击 示意 图 
网 络 1 交易 数据 报 广 = 
在 线 交 易 


服务 器 


伪造 交易 
数据 报 文 


E 


(b) 


图 2-3 会 话 重 放 攻 击 示意 图 


© 会 话 劫持 攻击 是 指 恶意 用 户 拦截 网 络 中 会 话 信 息 
攻击 行为 ,如 图 2-4 Bros 。 


3. 恶意 用 户 对 分 支 网 络 进行 的 DoS 攻击 


国 | 在 线 交易 
EJ 服务 器 


,假扮 通信 双方 发 送 虚假 信息 的 


恶意 用 户 通过 向 网 络 中 的 网 络 设备 、 主 机 发 送 大 量 消耗 占用 其 资源 的 流量 ,使 得 网 
络 、 网 络 设备 ,主机 无 法 进行 正常 通信 的 攻击 行为 , 称 为 DoSCDeny of Service) 攻 击 。 


TCP SYN 洪水 攻击 是 一 种 利用 TCP 协议 安全 漏洞 进行 的 DoS 攻击 ,恶意 用 户 利用 


TCP 连接 建立 过 程 中 “三 次 握手 ”的 安全 漏洞 ,向 被 攻击 者 发 送 大 量 连接 建立 请 求 ,由 于 


TOP 协议 需要 等 待 接收 到 后 续 响 应 报 文才 能 完成 连接 建 
致 被 攻击 者 大 量 资源 被 占用 ,无 法 进行 正常 通信 。 


立 过 程 ,大 量 连接 建立 请 求 会 导 


在 线 交 易 
=] Internet 服务 器 


交易 数据 报 文 || | | 伪造 交易 
交易 数据 报 | 数据 报 广 


Eus 


(a) 


网 络 1 


m 


伪造 交易 
数据 报 文 


交易 数据 报 文 
O] scitis 


(b) 
图 2-4 会 话 劫持 攻击 示意 图 


Smurf 攻击 是 一 种 利用 ICMP 报 文 洪水 进行 的 DoS 攻击 。 恶 意 用 户 可 假冒 被 攻击 
主机 向 某 网 络 广播 地 址 发 送 ICMP echo 报 文 ,由 于 每 个 目的 网 络 主机 都 向 被 攻击 主机 返 
回 ICMP reply 报 文 , 所 以 会 导致 被 攻击 主机 CPU 和 网 络 带宽 被 大 量 占用 而 不 能 再 正常 
提供 服务 。 

4. 恶意 用 户 对 分 支 网 络 进行 的 DDoS 攻击 

DDoSCDistributed Denial of Service) 攻 击 即 分 布 式 拒绝 服务 攻击 ,是 从 多 个 源头 发 
动 DoS 攻击 的 攻击 方式 。 恶 意 用 户 往往 先 通过 其 他 手段 攻陷 若干 防御 薄弱 的 主机 ,在 其 
上 安装 可 以 远程 控制 的 攻击 程序 ,使 其 成 为 “ 肉 机 ”, 然 后 再 控制 这 些 * 肉 机 ?向 网 络 上 的 合 
法 服务 器 发 动 DoS 攻击 。 由 于 发 出 DoS 攻击 洪水 的 “ 肉 机 ?位 置 比较 分 散 , 因 此 极 大 增加 
了 防御 该 类 攻击 的 难度 。 例 如 TFN TFN2K Trinoo, 特洛伊 木马 等 。 

目前 防范 DoS 攻击 和 DDoS 攻击 的 手段 主要 有 两 种 : 控制 流量 大 小 .禁止 来 自 
Internet 可 能 对 内 部 网 络 造成 攻击 的 流量 。 

例如 ,可 以 通过 限制 来 自 Internet 的 ICMP 报 文 进入 内 部 网 络 来 防范 Smurf; 也 通过 
限制 Internet 对 内 部 网 络 主机 的 主动 TCP 连接 ,来 防范 TCP SYN 等 。 

虽然 DDoS 攻击 比 DoS 攻击 更 难 防御 ,但 大 部 分 DDoS 程序 都 有 各 自 通信 特征 的 特 
点 。 例 如 ,DDoS 程序 TEN 使 用 ICMP echo-reply 消息 来 传递 “攻击 指令 ”; DDoS 程序 
Trinoo 使 用 比较 固定 的 端口 ,如 TCP 和 UDP 的 1524,27444,27665,31335 进行 通信 ; 
DDoS 程序 Trinity 使 用 URC 通信 来 传送 攻击 命令 ; 特洛伊 木马 使 用 一 些 特定 端口 通信 。 

因此 ,如 果 内 部 网 络 不 需要 提供 以 上 端口 的 网 络 服务 ,就 可 以 在 网 络 边界 上 过 滤 以 上 
特定 端口 的 流量 ,从 而 减少 遭遇 网 络 攻击 的 风险 。 
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2.1.2 模拟 公司 分 支 机 构 网 络 边界 安全 配置 方案 

在 边界 路 由 器 上 配置 访问 控制 列表 是 保护 内 部 网 络 防 御 以 上 安全 风险 的 主要 手段 之 
一 。 但 并 不 是 所 有 路 由 器 都 支持 高 级 访问 控制 列表 技术 ,因此 根据 模拟 公司 各 分 支 机 构 
实际 配置 情况 ,对 于 使 用 中 高 端 路 由 器 的 分 支 机 构 可 以 选用 方案 1 来 配置 边界 路 由 器 ,而 
使 用 低 端 路 由 器 的 分 支 机 构 可 以 选用 方案 2 来 配置 边界 路 由 器 。 

方案 1 

(1) 在 网 络 边界 上 配置 基于 上 下 文 的 访问 控制 列表 CBAC(Context-based Access 
Control) ,过 滤 来 自 Internet 到 内 网 主机 或 服务 器 的 所 有 ICMP echo 报 文 , 来 防御 利用 
ping 进行 的 扫描 攻击 。 

(2) 在 网 络 边界 上 配置 标准 访问 控制 列表 ,过 滤 所 有 来 自 Internet 的 源 地 址 为 bogon 
地 址 或 内 网 地 址 的 访问 ,防御 TP 欺骗 攻击 。 

(3) 在 网 络 边界 上 配置 基于 上 下 文 的 访问 控制 列表 ,防范 DoS 攻击 。 

* 限制 来 自 Internet 的 ICMP 报 文 进入 内 部 网 络 ,以 防范 Smurf, 

。 限制 Internet 对 分 支 机 构 网 络 主机 的 主动 TCP 连接 、UDP 连接 ,来 防范 TCP 

SYN 等 。 

(4) 在 网 络 边界 上 配置 扩展 访问 控制 列表 ,防范 使 用 特定 协议 消息 特定 端口 的 
DDoS 攻击 。 

。 阻塞 ICMP echo-reply 消息 ,以 抵御 TFN 攻击 。 

。 禁止 TCP 和 UDP 1524,27444,27665,16660,65000,31335 端口 的 流量 ,以 防御 
Trinoo 等 DDoS 攻击。 
禁止 TCP 端口 6665 一 6669 的 IRC 流量 以 防御 Trinity 攻击 。 
禁止 常见 特洛伊 木马 使 用 的 特定 端口 。 

方案 2 

对 于 那些 不 支持 CBAC 功能 的 路 由 器 ,配置 反射 访问 控制 列表 作为 替补 方案 。 

CD 在 网 络 边界 上 配置 反射 访问 控制 列表 ,过 滤 来 自 Internet 到 内 网 主机 或 服务 器 
的 所 有 ICMP echo 报 文 ,来 防御 利用 ping 进行 的 扫描 攻击 。 

(2) 在 网 络 边界 上 配置 标准 访问 控制 列表 ,过 滤 所 有 来 自 Internet 的 源 地 址 为 bogon 
地 址 或 内 网 地 址 的 访问 ,防御 TP. 欺骗 攻击 。 

(3) 在 网 络 边 界 上 配置 基于 上 下 文 的 访问 控制 列表 ,防范 DoS 攻击 。 

。 限制 来 自 Internet 的 ICMP 报 文 进入 内 部 网 络 ,以 防范 Smurf。 

* 限制 Internet 对 分 支 机 构 网 络 主机 的 主动 TCP 连接 、UDP 连接 ,来 防范 TCP 


SYN 等 。 
(4) 在 网 络 边界 上 配置 扩展 访问 控制 列表 ,防范 使 用 特定 协议 消息 .特定 端口 的 
DDoS 攻击 。 


* 阻塞 ICMP echo-reply 消息 ,以 抵御 TFN 攻击 。 

。 禁止 TCP 和 UDP 1524,27444,27665,16660,65000,31335 端口 的 流量 ,以 防御 
Trinoo DDoS 攻击 。 

禁止 TCP 端口 6665 一 6669 的 IRC 流量 以 防御 Trinity 攻击 。 
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。 禁止 常见 特洛伊 木马 使 用 的 特定 端口 。 

方案 1 和 方案 2 中 提 及 的 bogon 地 址 ,可 以 检索 http://www. cymru. com/Documents/ 
bogon-dd. html 网 页 获得 ; 常见 木马 端口 可 从 http://www. neohapsis. com/neolabs/ 
neo-ports/neo-ports. html 获得 。 表 2-1 显示 了 截至 2009 年 8 月 Internet 上 的 bogon 
地 址 。 


表 2-1 bogon 地 址 示例 


网 络 地 址 子 网 掩 码 网 络 地 址 EM E E] 
0.0.0.0 254.0.0.0 100.0.0.0 252.0.0.0 
2.0.0.0 255.0.0.0 104.0.0.0 252.0.0.0 
5.0.0.0 255.0.0.0 127.0.0.0 255.0.0.0 
10.0.0.0 255.0.0.0 169. 254. 0.0 255.255.0.0 
14.0.0.0 255.0.0.0 172.16.0.0 255. 240. 0.0 
23.0.0.0 255.0.0.0 176.0.0.0 254.0.0.0 
27.0.0.0 255.0.0.0 179.0.0.0 255.0.0.0 
31.0.0.0 255.0.0.0 181.0.0.0 255.0.0.0 
36.0.0.0 254.0.0.0 185.0.0.0 255.0.0.0 
39.0.0.0 255.0.0.0 192.0.2.0 255.255. 255.0 
42.0.0.0 255.0.0.0 192. 168. 0.0 255. 255. 0.0 
46.0.0.0 255. 0.0.0 198. 18.0.0 255. 254. 0.0 
49.0.0.0 255.0.0.0 223.0.0.0 255.0.0.0 
50.0.0.0 255.0.0.0 224.0.0.0 224.0.0.0 


2.2 访问 控制 列表 的 基础 知识 


2.2.1 访问 控制 列表 的 概念 
访问 控制 列表 (Access Control List,ACL) 是 一 种 过 滤 工 具 , 普 遍 用 于 各 种 网 络 设备 
(路 由 器 交换机、 防火 墙 等 ) 中 。 
ACL 工作 的 基本 原理 如 下 。 
。 定义 一 个 访问 控制 列表 ,该 访问 控制 列表 包含 一 组 过 滤 条 件 。 
* 在 网 络 设备 接口 线路 上 ,应 用 该 访问 控制 列表 对 “ 进 / 出 ”该 接口 的 流量 进行 
过 滤 。 
一 个 访问 控制 列表 中 包含 一 组 命令 (或 称 过 滤 条 目 ,访问 控制 语句 ) ,每 条 命令 典型 结 
HA: 
permit | deny 匹配 条 件 
即 “ 人 允许”(permit) 或 “拒绝 "Cdeny) 符 合 * 匹 配 条件 ” 的 流量 通过 网 络 设备 接口 。 
其 中 “匹配 条 件 ” 部 分 可 以 包含 多 种 信息 。 
。 源 地 址 或 目的 地 址 (可 以 是 .MAC 等 )。 
。 第 2 层 协议 信息 ,例如 以 太 网 帧 类 型 。 
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。 第 3 层 协议 类 型 ,例如 IP IPX。 

。 第 3 层 协议 信息 ,例如 了 PICMP 等 。 

。 第 4 层 协议 信息 ,例如 TCP UDP 端口 号 等 。 

以 要 隔绝 图 2-5 中 网 络 1 和 网 络 2 间 的 IP 流量 ,但 不 影响 网 络 1、 网 络 2 Internet 
间 访 问 为 例 ,可 以 设计 如 下 访问 控制 条 目 , 然 后 应 用 在 从 路 由 器 Router] 接口 2 离开 路 由 
器 的 流量 上 。 

。 拒绝 所 有 来 自 网 络 2 的 流量 。 

。 允许 所 有 其 他 流量 。 


图 2-5 ACL 过 滤 流 量 示例 


2.2.2 ACL 类 型 

ACL 有 很 多 类 型 ,常见 的 ACL 如 下 。 

COD 标准 ACL(Standard ACL): 只 能 根据 第 3 层 信息 来 过 滤 流 量 , 且 只 对 流量 来 源 
进行 过 滤 。 通 常用 于 限制 通过 VTY 线路 或 者 通过 HTTP、HTTPS 对 网 络 设备 的 访问 。 

(2) 扩展 ACLCExtended ACL): 可 以 根据 第 3 Jz 58 4 层 信息 来 过 滤 IP 流量 ,上 且 对 
流量 来 源 、 目 的 地 均 可 进行 过 滤 。 

(3) 定时 ACL(Time-range ACL): 是 一 种 扩展 ACL, 并 且 还 可 以 定义 什么 时 间 段 
ACL 被 激活 。 

(4) 反射 IP ACL(Reflect ACL): 根据 第 5 层 会 话 信息 来 过 滤 IP 流量 。 

(5) 基于 上 下 文 的 ACL(CBAC ACL): 可 以 根据 第 3 一 7 层 信息 过 滤 IP 流量 。 

(6) 锁 和 密 钥 ACL(Lock-and-Key ACL): 可 以 根据 第 3 层 、 第 4 层 信息 来 过 滤 IP 流 
量 , 允 许 用 户 用 验证 机 制 控 制 访问 一 个 特定 的 源 /目的 地 。 
2.2.3 ACL 工作 过 程 

数据 报 文 在 路 由 器 中 ACL 和 路 由 的 处 理 顺 序 如 图 2-6 所 示 。 从 接口 进入 路 由 器 的 
数据 报 文 , 先 经 人 站 ACL 处 理 , 然 后 再 做 路 由 ; 而 对 于 从 接口 送出 路 由 器 的 数据 报 文 , 则 
一 定 已 经 做 过 路 由 处 理 ,此 时 如 果 送 出 接口 上 有 出 站 ACL ,还 需要 进行 出 站 ACL 处 理 。 
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接口 1 


i 
! ED 
i] 
路 由 表 | | | 出 站 ACL 
I 
I 
I 


入 站 ACL 


du " 


图 2-6 数据 报 文 在 路 由 器 中 的 处 理 过 程 


数据 报 文 E. 


数据 报 文 被 入 站 、 出 站 ACL 过 滤 的 处 理 流程 如 图 2-7 所 示 。 当 数据 报 文 在 路 由 器 接 
O ERS) ACL 时 ,路 由 器 会 自 顶 向 下 顺序 在 ACL 中 检查 是 否 有 相 匹 配 的 过 滤 条 目 , 如 
果 找 到 一 条 匹配 的 过 滤 条 目 , 就 停止 向 下 继续 检查 其 他 过 滤 条 目 , 并 将 该 数据 报 文 按 所 匹 
配 的 过 滤 条 目 定 义 进行 处 理 。 但 如 果 遍 历 整个 ACL, 也 未 找到 匹配 的 过 滤 条 目 , 则 路 由 
器 会 将 该 数据 报 文 丢弃 。 

2.2.4 ACL 配置 规则 和 应 用 位 置 

1. ACL 的 配置 规则 

在 Cisco 网 络 设备 上 定义 ACL 时 ,必须 遵循 以 下 规则 。 

(D Cisco 网 络 设备 上 一 组 过 滤 条 目 保存 在 一 个 ACL 中 ,该 ACL 在 网 络 设备 中 由 一 
个 唯一 的 编号 或 名 称 来 标识 。 

(2) 每 条 过 滤 条 目 只 能 配置 一 个 匹配 条 件 和 相应 处 理 操 作 ( 即 要 么 允许 .要 么 拒绝 ) 。 
因此 当 需 要 控制 多 个 匹配 条 件 或 者 多 个 处 理 操作 时 , 需 配 置 多 条 过 滤 条 目 。 

(3) ACL 中 过 滤 条 目的 顺序 非常 重要 。 由 于 网 络 设备 是 从 ACL 顶部 开始 向 下 进行 
匹配 的 ,一 条 匹配 不 上 ,就 接着 取 其 下 面 一 条 语句 进行 匹配 ,而 找到 一 条 匹配 的 过 滤 条 目 ， 
就 不 会 再 继续 寻找 下 面 的 过 滤 条 目 , 所 以 每 个 ACL 中 的 过 滤 条 目 应 按照 其 约束 性 强 弱 ， 
将 约束 性 最 强 的 放 在 列表 的 项 部 ,约束 性 最 弱 的 语句 放 在 列表 的 底部 ,来 保证 访问 控制 能 
被 有 效 地 执行 。 

(4) 在 Cisco 设备 上 ,每 个 ACL 最 后 都 会 自动 增加 一 个 隐 式 拒绝 所 有 报 文 的 过 滤 条 
目 ,所 以 每 个 ACL 中 至 少 有 一 个 允许 操作 ,否则 所 有 数据 报 文 都 会 被 拒绝 。 

注意 : 并 不 是 所 有 品牌 的 网 络 设备 都 自动 增加 隐 式 拒绝 过 滤 条 目 ,H3C 网 络 设备 中 
的 ACL 则 正好 相反 。 

(5) 如 果 一 个 ACL 中 没有 定义 任何 过 滤 条 目 , 就 被 称 为 一 个 空 ACL。 将 一 个 空 
ACL 应 用 到 网 络 设备 接口 或 线路 上 , 则 该 空 ACL 中 的 隐 式 拒绝 过 滤 条 目 不 会 起 作用 , 它 
将 允许 所 有 数据 报 文通 过 。 

(6) 将 一 个 ACL 应 用 到 接口 或 线路 上 , 称 为 激活 该 ACL。 每 个 接口 的 一 个 方向 (人 
站 或 出 站 ) 上 只 能 应 用 一 个 ACL. 

(7) 在 数据 包 经 路 由 器 某 接口 进入 路 由 器 ,并 将 被 路 由 到 其 他 接口 之 前 ,路 由 器 将 处 
理 该 接口 上 的 和 站 ACL. 
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(8) 在 数据 包 被 路 由 到 某 接口 ,并 经 该 接口 离开 路 由 器 之 前 ,路 由 器 将 处 理 该 接口 上 
的 出 站 ACL. 

(9) 路 由 器 在 丢弃 被 过 滤 掉 的 数据 报 文 时 ,会 生成 ICMP 管理 性 禁止 信息 。 

(10) 路 由 器 并 不 过 滤 路 由 器 本 身 产生 的 流量 。 


2. ACL 的 应 用 位 置 选择 

在 设计 使 用 ACL 过 滤 网 络 流量 时 ,必须 考虑 ACL 将 要 应 用 在 哪个 网 络 设备 的 哪个 
接口 的 哪个 方向 的 流量 上 , 即 恰当 选择 ACL 的 应 用 位 置 。 

虽然 在 实际 生产 中 ACL 的 应 用 位 置 是 根据 访问 控制 需求 确定 的 ,但 在 尽 可 能 早 将 
无 用 流量 丢弃 以 节省 网 络 资源 ,同时 又 能 保证 合理 流量 正常 通过 网 络 设备 的 前 提 下 ,仍然 
可 以 遵循 以 下 两 个 规则 来 设计 ACL 的 应 用 位 置 。 

规则 1: 只 根据 数据 报 文 源 地 址 进行 过 滤 的 ACL ,例如 标准 ACL, 应 放 在 离 数据 报 文 
的 目的 地 尽 可 能 近 的 地 方 。 

规则 2: 根据 数据 报 文中 的 源 地 址 信息 、 目 的 地 址 信息 、 源 端口 .目的 端口 等 多 种 信息 
进行 过 滤 的 ACL, 例 如 扩展 ACL, 应 放 在 离 数 据 报 文 源 地 址 尽 可 能 近 的 地 方 。 

以 图 2-8 为 例 ,如 果 要 设计 一 个 ACL 以 禁止 除 网 络 1 外 其 他 网 络 对 Routerl 的 
Telnet 访问 , 则 可 以 在 Routerl 的 TTY 线路 上 应 用 一 个 标准 ACL, 只 允许 来 自 网 络 1 的 
数据 报 文通 过 。 

而 如 果 要 禁止 图 2-8 中 网 络 2 对 网 络 1 的 HTTP 访问 流量 , 则 较 好 的 解决 方法 是 
在 Router2 接口 3 的 入 站 方向 上 应 用 一 个 扩展 ACL 拒绝 目的 地 址 是 网 络 1 TCP 
流量 。 


图 2-8 ACL 应 用 位 置 示例 


2.3 无 状态 ACL 配置 方法 


2.3.1 标准 ACL 配置 步骤 
在 Cisco 网 络 设备 上 配置 标准 ACL 的 基本 步骤 及 命令 如 表 2-2 所 示 。 
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R22 标准 ACL 配置 步骤 及 相关 命令 


序 号 LIE 相关 命令 是 否 必 要 

步骤 1 定义 标准 ACL access-list 或 ip access-list 是 

步骤 2 在 接口 或 线路 上 应 用 ACL ip access-group 是 

步 又 3 | 检查 ACL 配置 和 应 用 情况 。 | ow aerem dn DES 
show ip interface 


1. 使 用 access-list 命令 定义 标准 ACL 

Cisco 网 络 设备 上 的 access-list 命令 用 于 定义 编号 标准 ACL 或 编号 扩展 ACL. 
access-list 命令 在 全 局 配置 模式 下 使 用 ,其 语法 如 下 。 

access-list ACL 编号 {deny | permit} 匹配 条 件 

(1) ACL 编号 

access-list 命令 一 次 只 能 定义 一 个 ACL 中 的 一 条 过 滤 条 目 。 当 一 个 ACL 中 存在 多 
条 过 滤 条 目 时 ,可 以 使 用 多 条 相同 “ACL 编号 ”的 access-list 命令 来 实现 ,并 且 先 定义 的 
条 目 位 于 ACL 顶部 ,后 定义 的 过 滤 条 目 自动 追加 到 ACL 的 尾部 。 

access-list 命令 中 的 “ACL 编号 ?是 一 个 ACL 在 一 台 网 络 设 备 中 的 唯一 标识 ,而 且 还 
有 区 分 ACL 类 型 的 作用 。 不 同 编号 范围 对 应 的 ACL 类 型 如 表 2-3 所 示 。 要 定义 标准 
ACL ,编号 可 以 从 1 一 99 或 1300 一 1999 的 范围 中 选取 。 

表 2-3 各 类 访问 控制 列表 编号 范围 


编号 范围 ACL 类 型 编号 范围 ACL 类 型 
1~99 IP 标准 访问 控制 列表 200~299 协议 类 型 码 访问 控制 列表 
100 一 199 IP 扩展 访问 控制 列表 2000 一 2699 IP 扩展 访问 控制 列表 


1100 一 1199 MAC 地 址 扩展 访问 控制 列表 700 一 799 MAC 地 址 访问 控制 列表 
1300 一 1999 IP 标准 访问 控制 列表 


(2) ACL 操作 关键 字 

access-list 命令 中 的 deny 关键 字 表示 会 拒绝 匹配 条 件 的 流量 ; permit 关键 字 表示 会 
允许 匹配 条 件 的 流量 。 

(3) 标准 ACL 的 匹配 条 件 定义 

标准 ACL 的 匹配 条 件 只 需 定义 流量 来 源 ,其 语法 如 下 所 示 。 


{ 源 主机 地 址 通配符 | any | host 源 主机 地 址 } 


标准 ACL 的 匹配 条 件 定义 中 支持 3 种 流量 来 源 的 表示 方式 。 

。“ 源 主机 地 址 ”参数 与 “通配符 ”参数 一 起 使 用 ,用 于 定义 一 定 范围 的 源 主机 。 源 主 
机 地 址 可 以 是 源 主机 名 或 源 主机 IP 地 址 。 

。 关键 字 any 指 任 何 名 字 或 IP 地 址 的 源 主机 。 

。 关键 字 host 后 跟 参 数 “ 源 主机 地 址 ”用 于 指定 一 台 源 主机 。 

(4) 通配符 

“通配符 ”与 子 网 掩 码 类 似 .是 一 种 长 32 位 的 二 进 制 掩 码 。 但 与 子 网 掩 码 不 同 的 是 ， 


P 
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通配符 某 位 值 为 1, 表 示 匹 配 条 件 中 源 地 址 对 应 位 的 值 可 被 忽略 ; 而 某 位 值 为 0, 则 表示 
匹配 条 件 中 源 地 址 对 应 位 的 值 必 须 匹 配 。 所 以 在 某 些 地 方 ,通配符 也 被 称 为 “ 反 掩 码 ”。 

例如 ,所 有 网 络 200. 100. 10. 0/24 中 的 主机 ?的 匹配 条 件 可 以 如 下 定义 。 

200. 100. 10. 0 0.0.0. 255 

通配符 0. 0. 0. 255 ,前 24 位 二 进 制 0 对 应 匹配 条 件 中 TP. 地 址 的 网 络 前 级 部 分 
200. 100. 10 ,表示 这 部 分 一 定 要 匹配 ; 最 后 8 位 为 二 进 制 1, 说 明 最 后 8 位 可 为 任意 值 。 
即 所 有 网 络 前 级 为 200. 100. 10 的 IP 地 址 均 能 匹配 ,如 图 2-9 Pros 。 


主机 IP 地 址 ”: 1100 1000. 0110 1000. 0000 1100. 0000 0000 
通配符 : 0000 0000. 0000 0000. 0000 0000. 1111 1111 
匹配 的 中 地 址 : 1100 1000. 0110 1000. 0000 1100. xxxx xxxx 


图 2-9 通配符 计算 示例 1 


使 用 通配符 时 ,没有 像 子 网 掩 码 那 样 0、1 必须 连续 的 限制 ,因此 使 用 起 来 更 加 灵活 。 
例如 ,“ 所 有 网 络 200. 100. 10. 0/24 中 主机 号 为 偶数 的 主机 ”可 以 如 下 定义 。 


200. 100. 10.0 0.0.0.254 


即 网 络 前 缀 为 200. 100. 10.0, 主 机 号 最 末 位 为 0 的 主机 。 计 算 过 程 如 图 2-10 所 示 。 


主机 iP 地址”: 1100 1000. 0110 1000. 0000 1100. 0000 0000 
通配符 : 0000 0000. 0000 0000. 0000 0000. 1111 1110 
匹配 的 中 地 址 : 1100 1000. 0110 1000. 0000 1100. xxxx xxx0 


图 2-10 通配符 计算 示例 2 


(5) 标准 编号 ACL 举例 
例如 ,实现 “禁止 除 网 络 200. 100. 8. 0/128 外 来 自 其 他 网 络 TP. 流量 ”功能 的 标准 
ACL 定义 命令 如 下 。 


access-list 10 permit 200.100.8.0 0.0.0.127 


2. 使 用 命令 ip access-list 定义 标准 ACL 

Cisco 网 络 设备 上 的 ip access-list 相对 access-list 命令 ,功能 更 强 。 使 用 ip access-list 
可 以 为 ACL 指定 一 个 描述 性 的 名 称 *ACL 名 ”; 还 可 以 删除 ACL 中 的 特定 条 目 。 

ip access-list 命令 配置 标准 ACL 的 语法 如 下 。 

ip access-list standard { ACL 名 | ACL 编 号 } 

[ 条 目 编号 ] (permit | deny } 匹配 条 件 

ip access-list 命令 在 全 局 模式 下 使 用 ,而 permit 和 deny 为 ip access-list 命令 的 
子 句 , 需 在 ip access-list 命令 模式 下 才能 够 输入 。 

ip access-list 命令 中 “条 目 编号 ”参数 ,用 于 指定 当前 配置 条 目 在 该 标准 ACL 中 的 
序号 。 

ip access-list 命令 中 的 “ACL 名 ”参数 ,用 于 在 网 络 设备 上 唯一 标识 该 ACL ,注意 
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ACL 名 可 以 包含 数字 ,但 必须 以 字符 开头 。 

ip access-list 命令 中 “匹配 条 件 ” 参 数 的 用 法 与 前 述 标准 ACL 匹配 条 件 相同 。 

3. 在 接口 或 线路 上 应 用 定义 的 ACL 

在 Cisco 网 络 设备 接口 上 ,应 用 标准 或 扩展 ACL 的 操作 相同 , 均 为 在 接口 配置 模式 
下 输入 : 


ip access-group ACL 编号 或 ACL 名 (in | out) 


例如 ,如 果 要 在 路 由 器 接口 Fa0/1 的 入 站 流量 上 应 用 编号 为 10 的 标准 ACL, 则 可 以 
如 下 配置 。 

Routerl(config) # interface fa0/1 

Routerl(config-if) ip  access-group 10 in 

在 Cisco 网 络 设备 V TY 线路 上 ,应 用 标准 ACL 的 操作 为 在 VTY 线路 配置 模式 下 
HA: 


access-class { ACL 4i% | ACL } (in| out} 
例如 ,在 Router] VTY 线路 入 站 流量 上 ,应 用 编号 为 10 的 标准 ACL 配置 如 下 。 


Routelr(config) # line vty 0 4 
Router] (config-line) # access-class 10 in 


4. 检查 ACL 配置 和 应 用 情况 

(1) 检查 已 定义 的 ACL 信息 

在 Cisco 上 可 以 用 show access-list 命令 检查 网 络 设 备 上 所 有 已 定义 的 ACL 信息 。 
该 命令 语法 如 下 。 

show [协议 ] access-list [ ACL 名 | ACL 编号 ] 


“协议 "参数 可 以 使 用 ip ipx 等 来 显示 特定 协议 的 ACL, 
“ACL 名 ”“ACL 编号 ”参数 用 于 显示 指定 ACL 的 内 容 。 
该 命令 及 输出 结果 如 下 。 
Routerl # show access-list 


Standard IP access list 10 
10 permit 200. 100. 10. 0，wildcard bits 0. 0. 0. 255 (4 matches) 


结果 显示 了 Routerl 上 现在 配置 有 1 个 标准 ACL .编号 为 10, 到 该 命令 执行 前 ,已 经 
有 4 个 数据 报 文 匹配 了 该 标准 ACL. 

(2) 检查 接口 应 用 ACL 情况 

在 Cisco 上 可 以 用 show ip interface 命令 检查 网 络 设备 接口 上 应 用 ACL 的 情况 。 该 
命令 语法 如 下 。 


show ip interface 接口 号 


EN 


Fa 
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参数 “接口 号 ”为 应 用 ACL 的 接口 号 。 
该 命令 使 用 及 输出 结果 如 下 。 


Routerl# show ip interface fa0/0 
FastEthernet0/0 is up, line protocol is up 
Internet address is 10. 10. 10. 1/24 
Broadcast address is 255. 255. 255. 255 
此 处 省 略 部 分 显示 … 


Outgoing access list is not set [0] 
Inbound access list is eacl-out2in [2] 

此 处 省 略 部 分 显示 … 

从 该 命令 输出 结果 中 可 以 显示 接口 Fa0/0 上 应 用 ACL 的 情况 。@ 显 示 说 明 在 出 站 
方向 上 没有 应 用 ACL。 回 显示 说 明 在 和 人 站 方向 上 应 用 了 一 个 名 为 eacl-out2in 的 ACL. 
2.3.2 扩展 ACL 配置 步骤 

在 Cisco 网 络 设备 上 配置 扩展 ACL 的 基本 步骤 及 命令 与 标准 ACL 相同 , 仅 命令 参 
数 和 匹配 条 件 定义 上 有 区 别 。 

使 用 access-list 命令 定义 扩展 ACL 时 ,要 注意 ACL 编号 的 范围 为 100 一 199 ,2000~ 
2699, 

使 用 ip access-list 命令 定义 扩展 ACL 时 ,要 使 用 ip access-list extended ACL 
BEES 即使 用 extended 关键 字 定 义 该 ACL 为 扩展 ACL. 

定义 扩展 ACL 时 ,针对 不 同 协议 报 文 的 匹配 条 件 语 法 各 不 相同 。 下 面 为 常用 IP. 
TCP .UDP ICMP 流量 匹配 条 件 的 语法 。 


1. IP 流量 匹配 条 件 

禁止 或 允许 所 有 指定 源 地 址 到 达 指 定 目的 地 址 IP 流量 的 匹配 条 件 应 按 如 下 语法 
定义 。 

ip (Wibi 源 地 址 通配符 | any | host 源 地 址 } {目的 地 址 目的 地 址 通配符 | 

any | host 目的 地 址 ) [ precedence 优先 级 ] [tos 服务 类 型 域 或 服务 名 ] [ log | 

log-input ] [time-range 时 间 范 围 名 ] [ fragments ] 

关键 字 ip 用 于 指定 过 滤 IP 流量 。ip 关键 字 后 面 参数 的 用 法 与 标准 ACL 定义 部 分 
相同 。 

“优先 级 ”参数 用 于 过 滤 特 定 优先 级 的 IP 流量 ,优先 级 范围 为 0 一 7, 对 应 于 TP 报头 
中 优先 级 字段 。 

“服务 类 型 域 或 服务 名 ”参数 用 于 过 滤 指 定 服务 类 型 的 IP 流量 。 

“优先 级 ”“ 服 务 类 型 域 或 服务 名 ”参数 对 应 的 IP 报头 字段 都 与 QoS 实施 有 关 。 

使 用 关键 字 log 会 生成 有 关 匹 配 该 条 件 的 记录 日 志 。 被 记录 的 日 志 信 息 包 括 允 许 或 
拒绝 操作 、 匹 配 的 协议 、 源 地 址 和 目的 地 址 、TCP/UDP 协议 的 源 端口 号 和 目的 端口 号 、 
ICMP 消息 类 型 等 。 

注意 : 使 用 关键 字 log 会 严重 影响 网 络 设备 的 性 能 ,因此 一 般 只 在 发 现 遭 受 网 络 攻 
击 时 , 才 会 打开 该 功能 用 以 确定 攻击 者 位 置 。 
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关键 字 log-input 与 log 类 似 , 但 还 会 记录 匹配 流量 的 输入 接口 和 流量 中 第 2 层 源 地 
址 ,更 易于 定位 攻击 者 位 置 。 

“时 间 范 围 名 ”参数 用 于 为 ACL 指定 一 个 已 经 定义 的 时 间 范 围 。 该 参数 用 于 定时 
ACL 的 配置 。 

可 选 参数 fragments 关键 字 用 于 分 片 的 过 滤 。 


2. ICMP 流量 匹配 条 件 

ICMP 流量 匹配 条 件 可 以 用 在 希望 限制 或 允许 ICMP 流量 的 情况 ,可 以 使 用 该 匹配 
条 件 定义 限制 从 指定 源 地 址 到 指定 目的 地 址 间 的 所 有 各 类 ICMP 协议 报 文 流量 ,也 可 以 
仅 限 制 部 分 ICMP 流量 。 

icmp { 源 地 址 ” 源 地 址 通配符 | any | host 源 地 址 } {目的 地 址 目的 地 址 通配符 | 

any | host 目的 地 址 } [ ICMP 报 文 类 型 |  [ ICMP 报 文 类 型 ICMP 代码 | 

ICMP 消息 ] [ precedence 优先 级 ] [tos 服务 类 型 域 或 服务 名 ] [log | log-input ] 

[time-range 时 间 范 围 名 ] [ fragments ] 

例如 ,如 果 和 希望 允许 图 2-8 所 示 网 络 1、 网 络 2 中 主机 可 以 使 用 ping 测试 到 达 
Internet 的 连通 性 ,但 却 不 希望 Internet 能 ping 通 网 络 1、 网 络 2 中 主机 , 则 可 以 利用 
ICMP 协议 工作 特点 ,在 路 由 器 接口 1 Fa0/1 入 站 方向 上 如 下 配置 ACL, 禁 止 所 有 
Internet 对 网 络 1、 网 络 2 中 主机 的 ICMP echo 报 文 ,但 允许 其 他 IP 报 文通 过 ,该 扩展 
ACL 配置 如 下 。 


Routerl(config) # ip access-list extended eacl-noicmp 
Routerl(config-ext-nacl) # deny icmp any any echo 
Routerl(config-ext-nacl) # permit ip any any 
Routerl Cconfig-ext-nacl) # exit 

Routerl (config) £ interface fa0/1 

Router] (config-if) # ip access-group  eacl-noicmp in 
Router] (config-if) # end 


配置 完成 后 显示 存 取 控 制 列 表 结果 如 下 。 


Routerl # show  access-lists 


Extended IP access list eacl-noicmp 
10 deny icmp any 200. 100. 10. 0 0. 0. 0. 255 echo 
20 permit ip any any 


3. TCP 流量 匹配 条 件 

TCP 流量 匹配 条 件 可 以 用 于 允许 或 禁止 所 有 或 部 分 指定 类 型 的 TCP 流量 通过 网 络 
设备 。 

tp 《 源 地 址 源 地址 通配符 | any | host Hii) [运算 符 [ 源 端口 号 ] ] 

{目的 地 址 目的 地 址 通配符 | any | hot 目的 地 址 } [运算 符 [ 目的 端口 号 ] ] 


[ established ] [ precedence 优先 级 ] [tos 服务 类 型 域 或 服务 名 ] [log | log-input ] 
[time-range 时 间 范 围 名 ] [ack] [fin] [psh] [rst] [syn] [urg] [ fragments ] 


EN 
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Z 关键 字 tcp 指定 只 有 TCP 流量 会 匹配 该 条 件 定义 。 
“运算 符 ” 参 数 与 “ 源 端口 号 ”“ 目 的 端口 号 "配合 用 于 指定 TCP 流量 的 “ 源 端口 号 ”、 
“目的 端口 号 "范围 。 各 种 运算 符 的 含义 及 用 法 举例 如 表 2-4 所 示 。 


表 2-4 运算 符 含义 及 使 用 举例 


运算 符 =e X 举 m 

eq 等 于 (equal) eq www ”所 有 端口 号 为 www 服务 器 端口 , 即 80 端口 的 流量 
gt KF (greater) gt 1023 井 所 有 端口 号 大 于 1023 的 流量 

lt 小 于 (lower) «t 1023.—— 井 所 有 端口 号 小 于 1023 的 流量 

neq 不 等 于 (not equal) neq 3389 # 所 有 端口 号 不 等 于 3389 的 流量 

range | 端口 号 范围 range 0 1023  # 所 有 端口 号 在 0~1023 之 间 的 流量 


established 关键 字 指 定 如 果 流量 中 设置 了 
ACK,FIN,PSH,RST,SYN,URG 标志 , 则 匹配 


该 条 件 定义 。 


可 选 参数 ack, fin, psh, rst, syn, urg 用 于 过 Router! 
滤 带 有 相应 标志 位 的 TCP 流量 。 

例如 ,如 果 和 希望 图 2-11 中 网 络 1 内 主机 可 以 
向 Internet 和 网 络 2 主动 发 起 TCP 连接 ,但 却 不 
允许 Internet 上 的 主机 向 网 络 1 内 主机 主动 发 起 


路 由 器 


TCP 连接 ,访问 网 络 1 内 基于 TCP 协议 的 网 络 图 211 DE ACL 配置 示例 拓扑 -TCP 
服务 , 则 可 以 在 Routerl 上 如 下 配置 。 


Routerl (config) iip access-list extended  eacl-out2in 

Router 1(config-ext-nacl) # permit tcp any any established 
Router lCconfig-ext-nacD # deny tcp any any 

Router 1(config-ext-nacl) # permit ip any any 


eeoo 


Router 1(config-ext-nacl) # exit 
Router 1(config) # interface fa0/0 


Router 1(config-if) # ip  access-group  eacl-out2in in 


以 上 配置 说 明 如 下 。 

CD 创建 一 个 名 为 eacl-out2in 的 扩展 ACL. 

© 禁止 Internet. 上 的 主机 向 网 络 1 内 主机 主动 发 起 TCP 连接 ,可 以 分 解 为 不 允许 
建立 TCP 连接 的 TCP 流量 访问 网 络 1 内 主机 ,但 是 允许 响应 连接 建立 、 服 务 响 应 等 TCP 
流量 送 达 网 络 1 内 主机 。 所 以 对 于 该 要 求 可 以 分 解 为 允许 已 建立 连接 的 TCP 流量 访问 
网 络 从 路 由 器 接口 Fa0/0 进入 ,但 禁止 其 他 的 TCP 流量 , 即 禁 止 TCP 建立 连接 请 求 流量 


进入 。 


@ 


© 与 上 一 条 一 起 实现 只 允许 已 建立 连接 的 TCP 流量 送 达 网 络 1 内 主机 。 

© 由 于 ACL 最 后 有 一 条 隐 式 拒绝 语句 ,所 以 为 保证 网 络 1 与 其 他 网 络 的 合理 通信 ， 
需要 允许 所 有 从 Internet 进入 路 由 器 接口 Fa0/0 的 IP 流量 , 即 允 许 所 有 IP 流量 。 

© 作为 扩展 ACL, 应 放 在 尽 可 能 靠近 流量 源 的 地 方 ,对 于 该 例 ,最 近 的 地 方 就 是 路 
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由 器 Routerl 的 接口 Fa0/0 ,另外 由 于 主要 是 限制 Internet 对 网 络 1 的 访问 ,所 以 在 入 站 
方向 上 配置 。 


4. UDP 流量 匹配 条 件 
UDP 流量 匹配 条 件 用 于 过 滤 UDP 流量 。 其 语法 如 下 。 
udp 源 地 址 ” 源 地 址 通配符 [ 运算 符 [ 端口 号 ] ] 目的 地 址 目的 地 址 通配符 [ 运算 


ff [ 端口 号 ] ] [precedence 优先 级 ] [tos 服务 类 型 域 或 服务 名 ] [log | log-input ] 
[time-range 时间 范围 名 ] [ fragments ] 


2.3.3 ÆR} ACL 配置 步骤 
在 Cisco 网 络 设备 上 ,配置 定时 ACL 的 基本 步骤 及 命令 如 表 2-5 所 示 。 
表 2-5 定时 ACL 配置 步骤 及 相关 命令 


序 号 操 fF 相关 命令 是 否 必 要 

步骤 1 定义 时 间 范 围 time-range 是 

步骤 2 定义 ACL access-list 或 ip access-list 是 

步骤 3 在 接口 或 线路 上 应 用 ACL ip —access-group 或 access-class 是 

sga | 检查 ACL 配置 和 应 用 情况 | Show eredi sh 
show ip interface 


其 中 ,定义 时 间 范 围 的 操作 是 在 全 局 配置 模式 下 输入 : 


time-range 时间 范围 名 
[ absolute [ start 开始 时 间 开始 日 期 ] [end 开始 时 间 开始 日 期 ] ] 
[ periodic 星期 几 开始 时 间 to 结束 时 间 ] 
absolute 和 periodic 是 time-range 命令 的 子 命令 。 
absolute 用 于 定义 单个 时 间 范 围 。 可 以 是 一 个 起 始 时 间或 一 个 结束 时 间 , 或 两 者 
都 有 。 
periodic 用 于 定义 重复 性 的 时 间 范 围 , 即 “ 每 周 什么 时 间 到 什么 时 间 ”。 参 数 “ 星 期 
几 ” 可 以 使 用 Monday, Tuesday, Wednesday, Thursday, Friday, daily (每 天 )、weekdays 
(周一 至 周 五 ) .weekend( 周 六 和 周 日 )。 
例如 ,每 周一 到 周 五 早 9: 00 到 下 午 5: 00 为 公司 工作 时 间 , 只 在 该 时 间 段 允许 来 自 
Internet 的 主机 访问 内 网 一 台 服 务 器 200. 100. 10. 10, 但 不 允许 访问 其 他 主机 。 
相应 的 定时 ACL 和 time-range 配置 如 下 。 


Routerl (config) # time-range tr-test 

Routerl (config-time-range) + periodic weekdays 9:00 to 17:00 

Router] (config-time-range) + exit 

Routerl (config) # ip access-list extended  eacl-test 

Routerl (config-ext-nacl) # permit tcp any host 200.100.10.10 time-range tr-test 
Routerl (config-ext-nacl) # permit tcp any any established 

Routerl(config-ext-nacD # deny tcp any any 

Routerl (config-ext-nacl) # permit ip any any 


N 
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2.3.4 分 片 ACL 配置 

1. 分 片 攻 击 与 分 片 ACL 

了 协议 通过 使 用 分 片 技术 ,解决 在 MTU 最 大 值 不 同 的 物理 网 络 进行 数据 传输 的 问 
题 。 当 路 由 器 要 把 接收 到 的 数据 包 转 发 到 使 用 更 小 MTU 最 大 值 的 网 络 中 时 ,路 由 器 会 
将 数据 包 分 成 符合 MTU 最 大 值 要 求 的 多 个 数据 包 , 即 分 片 。 

但 分 片 技术 也 会 为 网 络 带 来 安全 隐患 。 因 为 网 络 层 对 传输 层 的 数据 包 进行 分 片 时 ， 
TCP 报头 信息 会 被 分 到 第 1 个 分 片 中 ,后 续 的 分 片 中 却 只 有 TCP 数据 。 此 时 在 接收 设 
备 或 主机 需要 处 理 TCP 流量 而 后 续 分 片 先 于 第 1 个 分 片 到 达 的 情况 下 ,接收 设备 或 主机 
会 将 先 到 的 后 续 分 片 存 人 缓存 ,等待 第 1 个 分 片 到 来 后 进行 重组 处 理 , 这 需要 占用 接收 设 
备 或 主机 的 资源 。 恶 意 用 户 正 是 利用 这 种 网 络 通信 工作 方式 ,发 送 大 量 无 法 重组 的 分 片 
或 者 可 以 重组 的 无 意义 分 片 ,占用 接收 设备 或 主机 的 资源 ,建立 一 个 DoS 攻击 。 

防御 分 片 攻击 有 多 种 方案 ,其 中 一 种 就 是 使 用 分 片 ACL 过 滤 掉 不 是 数据 包 第 1 个 分 
片 的 后 续 分 片 。 

2. 分 片 ACL 配置 方法 

在 Cisco 网 络 设备 上 使 用 扩展 ACL 命令 中 的 fragments 关键 字 ,可 以 过 滤 分 片 流量 。 
可 以 使 用 带 有 fragments 关键 字 的 IP 流量 匹配 条 件 定义 ,禁止 所 有 IP 分 片 流 量 , 可 以 如 
下 配置 。 


Routerl(config)# ip access-list extended eacl-test 

Routerl(config-ext-nacl)# deny ip any any fragments 

Routerl(config-ext-nacl)# permit tcp any host 200.100.10.10 time-range tr-test 
Routerl(config-ext-nacl) # permit tcp any any established 

Routerl(config-ext-nacl) # deny tcp any any 

Routerl(config-ext-nacl) # permit ip any any 


也 可 以 分 别 定义 禁止 分 片 的 TCP 流量 .UDP 流量 .ICMP IGMP 流量 等 ,配置 如 下 。 


Routerl(config)# ip access-list extended eacl-test 

Routerl(config-ext-nacl)# deny tcp any any fragments 

Routerl(config-ext-nacl)# deny udp any any fragments 

Routerl (config-ext-nacl) # deny icmp any any fragments 

Routerl(config-ext-nacD # deny igmp any any fragments 

Routerl(config-ext-nacl) permit tcp any host 200.100.10.10 time-range tr-test 
Routerl(config-ext-nacl) # permit tcp any any established 

Routerl(config-ext-nacl) # deny tcp any any 

Routerl(config-ext-nacl) # permit ip any any 


但 需要 注意 的 是 ,对 于 包含 第 4 层 信息 的 ACL, Cisco 12. 001 Ail 12. 2(2) 以 前 版 本 
的 IOS 在 过 滤 分 片 时 遵循 的 规则 是 : 如 果 进 行 了 分 片 , 且 不 是 第 1 个 分 片 的 流量 匹配 了 
带 有 fragments 参数 的 ACL, 但 ACL 定义 的 操作 是 deny, 则 网 络 设备 不 会 丢弃 该 流量 ， 
而 是 继续 检查 ACL 中 的 下 一 条 过 滤 条 目 。 因 此 如 果 下 面 的 过 滤 条 目 不 能 将 该 分 片 过 滤 
掉 , 则 该 分 片 将 被 允许 通过 。Cisco 12.0(11) 和 12. 2(2) 以 后 版 本 的 IOS 修复 了 该 漏洞 ， 
允许 由 ACL 末尾 隐 含 的 拒绝 语句 禁止 所 有 流量 ,包括 分 片 流量 。 


第 2 章 访问 控制 列表 技术 


2.4 有 状态 ACL 配置 


2.4.1 反射 ACL 简介 

扩展 ACL 是 无 状态 的 ACL ,配置 了 扩展 ACL 的 网 络 设备 只 是 根据 数据 报 文中 的 标 
志 、 类 型 等 过 滤 流 量 ,并 不 记录 通信 过 程 ,因此 不 能 用 于 防范 恶意 用 户 利用 各 类 响应 报 文 
或 无 状态 报 文 发 动 的 攻击 。 

CD 使 用 扩展 ACL 可 以 拒绝 外 网 对 内 网 的 ICMP echo 报 文 ,但 考虑 到 要 允许 内 网 对 
外 网 的 ping 能 够 成 功 ,所 以 需要 允许 外 网 送 到 内 网 的 ICMP echo-reply 流量 。 由 于 扩展 
ACL 只 是 检查 ICMP 报 文 类 型 ,所 以 不 能 用 于 防范 恶意 用 户 使 用 smurf 发 送 大 量 ICMP 
echo-reply 到 内 网 的 攻击 。 

(2) 扩展 ACL 可 以 通过 established 关键 字 , 只 允许 外 网 的 响应 报 文 进入 内 网 ,但 是 
不 能 用 于 防范 恶意 用 户 发 送 大 量 TCP 响应 报 文 攻击 内 网 。 

(3) UDP 协议 通信 时 没有 建立 连接 的 过 程 ,不 能 使 用 类 似 established 关键 字 的 扩展 
ACL 来 限制 外 网 送 到 内 网 的 UDP 流量 。 恶 意 用 户 可 以 利用 这 一 安全 漏洞 ,使 用 像 
Fraggle 这 样 的 工具 ,向 内 网 发 送 大 量 UDP 报 文 进行 DoS 攻击 。 

反射 ACL 技术 是 一 种 解决 以 上 安全 问题 的 简易 手段 。 

反射 ACL 技术 的 基本 原理 是 : 来 自 有 效 源 主机 的 流量 会 触发 (反射 ) 一 个 允许 该 连 
接 返 回流 量 的 临时 ACL ,允许 该 连接 的 返回 流量 进入 网 络 。 

一 旦 反射 ACL 被 产生 , 则 会 自动 启动 一 个 定时 器 ,超时 后 反射 ACL 失效 。 

2.4.2 反射 ACL 配置 方法 

配置 反射 ACL 的 步骤 如 表 2-6 所 示 ,主要 配置 工作 包括 : 在 路 由 器 到 外 网 方向 上 定 
义 带 有 reflect 关键 字 的 ACL 过 滤 条 目 , 使 之 能 产生 允许 返回 流量 的 ACL ,然后 在 路 由 器 
到 内 网 方向 上 定义 带 有 evaluate 命令 的 ACL 过 滤 条 目 , 在 入 站 方向 上 指定 反射 ACL 过 
滤 条 目的 正确 位 置 。 


表 2-6 反射 ACL 配置 步骤 


序 号 Ro 作 相关 命令 必要 性 
PT 定义 从 内 网 到 外 网 的 ACL ,并 在 需要 允许 返回 流 | ip access-list 是 
量 的 命令 后 增加 reflect permit...reflect 
n di 
步骤 2 | 定义 从 外 网 到 内 网 的 ACL, 引 用 反射 ACL bees 是 
evaluate... 
步骤 3 | 在 网 络 设备 接口 上 应 用 各 方向 上 定义 的 ACL ip access-group 是 
步骤 4 | 检查 反射 ACL 配置 pb Sd Tit 
show ip interface 


如 果 要 允许 某 个 permit 命令 定义 的 流量 能 够 产生 反射 ACL, 则 可 以 输入 : 
permit {tep ... | udp ...) reflect 反射 ACL 过 滤 条 目 名 timeout 超时 时 间 
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该 命令 将 为 匹配 的 流量 创建 一 个 指定 名 字 的 反射 ACL 过 滤 条 目 , 以 允许 相应 返回 
的 流量 。 

参数 “超时 间隔 ”用 于 指定 多 长 时 间 后 该 反射 ACL AR. MMA, WHA 1 一 
2147483 ,默认 值 为 300。 

在 配置 外 网 到 内 网 方向 上 的 ACL 中 ,引用 所 定义 反射 ACL 条 目的 操作 为 在 该 ACL 
配置 模式 下 输入 : 

evaluate ”反射 ACL 过 滤 条 目 名 

需要 注意 的 是 ,Cisco 网 络 设备 不 会 在 反射 ACL 过 滤 条 目 末尾 隐 含 增加 拒绝 所 有 流 
量 的 语句 。 

为 限制 外 网 主动 发 起 向 内 网 TCP 连接 以 及 向 内 网 主动 发 送 UDP 报 文 , 配 置 如 下 。 


Routerl(config) # ip access-list extended in2out [0] 
Routerl(config-ext-nacl) # permit tcp any any reflect racl-tcp [^] 
Routerl(config-ext-nacl) # permit udp any any reflect rackudp timeout 30 [9] 
Routerl(config-ext-nacl) permit ip any any [2] 
Routerl(config-if) # exit 

Routerl (config) # ip access-list extended out2in © 
Router] (config-ext-nacl) # evaluate racktcp © 
Routerl (config-ext-nacl) # evaluate rackudp [0] 
Routerl(config-ext-nacl) # deny tcp any any [3] 
Routerl (config-ext-nacl) # deny udp any any @ 
Routerl (config-ext-nacl) # permit ip any any 0 
Routerl (config-if) # exit 

Routerl (config) + interface fa0/1 

Router] (config-if) # ip  access-group out2in in [n] 
Routerl (config-if) # ip  access-group  in2out out ® 


Router] (config-if) # end 
Routerl # show ip access-lists 
Extended IP access list in2out 
10 permit tcp any any reflect racl-tcp (123 matches) 
20 permit ip any any (19 matches) 
Extended IP access list out2in 
20 evaluate racl-tcp 
30 deny tcp any any (39 matches) 
40 permit ip any any (62 matches) 
Reflexive IP access list racl-tcp 
permit tcp host 200. 100. 10. 2 eq telnet host 10. 10. 10. 2 eq 11002 (45 matches) 四 
(time left 296) 


以 上 配置 说 明 如 下 。 

(D 定义 一 个 名 为 in2out 的 扩展 ACL ,该 ACL 将 用 于 从 内 网 到 外 网 的 流量 过 滤 。 根 
据 安全 需求 ,不 禁止 任何 从 内 网 到 外 网 的 TP. 流量 ,但 需要 检查 内 网 到 外 网 的 TCP, UDP 
流量 ,以 触发 生成 反射 ACL。 

© 该 过 滤 条 目 用 于 产生 反射 ACL 以 允许 从 外 网 到 内 网 的 TCP 响应 流量 。 

© 该 过 滤 条 目 用 于 产生 反射 ACL 以 允许 从 外 网 到 内 网 的 UDP 响应 流量 ,为 防范 恶 
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意 用 户 利用 定时 器 默认 300 秒 的 间隔 发 动 UDP 攻击 ,因此 将 定时 器 设置 为 30 秒 。 

© 该 过 滤 条 目 用 于 允许 除 TCP 流量 外 其 他 从 内 网 到 外 网 的 IP 流量 。 

© 定义 一 个 名 为 out2in 的 扩展 ACL ,该 ACL 将 用 于 从 外 网 到 内 网 的 流量 过 滤 。 

© 在 扩展 ACL out2in 中 引用 允许 TCP 响应 流量 的 反射 ACL AA. 

© 在 扩展 ACL out2in 中 引用 允许 UDP 返回 流量 的 反射 ACL 条 目 。 

® 拒绝 其 他 TCP 流量 。 

© 拒绝 其 他 UDP 流量 。 

D 允许 其 他 IP 流量 。 

D 在 路 由 器 连接 外 网 的 接口 Fa0/1 入 站 方向 上 应 用 所 定义 的 out2inACL。 

四 在 路 由 器 连接 外 网 的 接口 Fa0/1 出 站 方向 上 应 用 所 定义 的 in2outACL。 

® 在 内 网 10. 10. 10. 2 主机 上 使 用 Telnet 远程 登录 200. 100. 10. 2 所 触发 的 反 
射 ACL。 


2.5 基于 上 下 文 ACL 配置 


2.5.1 CBAC 简介 

基于 上 下 文 的 访问 控制 是 Cisco IOS 防火 墙 安全 特性 集中 的 一 项 特性 , 它 比 反射 
ACL 具有 更 多 的 安全 功能 。 

CBAC 提供 4 项 功能 : @ 可 以 对 应 用 层 流 量 进行 状态 审查 ,如 发 起 连接 的 速率 .TCP 
序号 范围 等 ; @ 能 够 根据 应 用 层 信息 过 滤 流 量 ; @ 通 过 进行 流量 审查 等 ,可 以 检测 某 些 
类 型 的 DoS 攻击 ; @ 能 实时 生成 警告 .审查 跟踪 信息 。 

CBAC 工作 过 程 与 反射 ACL 很 相似 。 如 图 2-12 Bros ,如果 在 内 网 到 外 网 的 接口 上 
配置 CBAC 审查 流出 内 网 的 流量 , 则 当 流 量 通 过 审查 时 ,将 触发 建立 一 个 临时 的 从 外 网 
到 内 网 入 口 ACL 条 目 ,允许 对 应 该 连接 外 网 到 内 网 的 返回 流量 。 同 时 ,CBAC 利用 一 个 
状态 表 , 记 录 所 监控 (审查 ) 连 接 的 状态 信息 。 在 对 流量 进行 CBAC 审查 时 ,网 络 设备 会 
检查 状态 表 中 是 否 已 经 存在 该 连接 。 如 果 不 存在 该 连接 , 则 会 在 状态 表 中 添加 该 连接 相 
应 的 条 目 ; 如 果 连 接 已 经 存在 ,就 将 对 应 条 目的 空闲 超时 清 零 。 
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图 2-12 CBAC 审查 与 临时 ACL 条 目 


s 


计算 机 网 络 安全 与 管理 


1. TCP 流量 审查 

CBAC 审查 TCP 流量 时 ,检查 TCP 报 文 头 中 的 控制 位 和 TCP 连接 状态 。 

CD 如 果 配 置 在 第 1 个 SYN 报 文 之 后 的 30 秒 内 应 建立 连接 ,而 在 此 时 间 内 连接 没 
有 建立 , 则 CBAC 会 从 状态 表 和 ACL 中 删除 由 第 1 个 SYN 报 文 触发 创建 的 条 目 。 

(2) 如 果 检 查 到 1 TCP 连接 空闲 超过 1 小 时 , 则 Cisco IOS 会 从 状态 表 和 ACL 中 
删除 对 应 的 条 目 。 

G) 如 果 检 查 到 TCP 报 文中 有 FIN 标志 , 则 5 秒 之 后 还 没有 收 到 后 续 响 应 报 文 ， 
Cisco IOS 会 从 状态 表 和 ACL 中 删除 对 应 的 条 目 。 

(4) 如 果 收 到 的 TCP 报 文 头 中 序号 与 所 期 望 范围 不 符 , 则 CBAC 会 丢弃 这 些 数据 报 
文 , 并 会 认为 有 欺骗 或 DoS 发 生 。 

2. UDP 流量 审查 

CBAC 审查 UDP 流量 时 ,与 反射 ACL 处 理 相 同 ,都 是 通过 估计 UDP 会 话 的 生命 期 
来 进行 相应 处 理 。 如 果 配 置 一 个 UDP 会 话 空闲 时 间 应 为 30 秒 , 则 如 果 30 秒 内 该 会 话 上 
没有 UDP 流量 通过 , 则 Cisco IOS 会 从 状态 表 和 ACL 中 删除 对 应 的 条 目 。 

另外 对 于 DNS 的 UDP 流量 ,如 果 配 置 CBAC 审查 发 出 的 DNS 请 求 , 并 且 5 秒 内 应 
能 从 DNS 服务 器 处 获得 DNS 答复 , 则 当 5 秒 内 没有 收 到 答复 的 情况 下 ,Cisco IOS 会 从 
状态 表 和 ACL 中 删除 对 应 的 DNS 条目 ; 而 一 旦 在 5 秒 内 收 到 了 DNS 服务 器 的 答复 , 则 
Cisco IOS 也 会 立即 从 状态 表 和 ACL 中 删除 对 应 的 DNS AA. 


3. ICMP 流量 审查 

CBAC 对 ICMP 流量 的 审查 只 在 12. 2(11) 版 本 以 后 的 Cisco IOS 中 才 支持 。 目 前 CBAC 
只 能 审查 几 种 常见 的 ICMP 消息 ,如 echo, echo-reply, host-unreachable, timestamp-request, 
timestamp-reply 等 。CBAC 审查 ICMP 流量 时 ,如 果 10 秒 内 没有 相应 的 ICMP 回应 信息 返 
回 , 则 从 状态 表 和 ACL 中 删除 对 应 的 连接 条 目 ; 如 果 10 秒 内 收 到 相应 的 ICMP 回应 , 则 检 
查 这 些 信息 ,只 有 被 支持 的 ICMP 信息 能 够 通过 ,其 他 类 型 的 ICMP 信息 被 丢弃 。 


4. 附加 连接 处 理 与 NAT 流量 处 理 

(1) 附加 连接 处 理 

以 FTP 连接 为 例 ,FTP 客户 端 在 使 用 端口 1024 与 FTP 服务 器 21 端口 建立 起 FTP 
连接 后 ,如 果 使 用 被 动 模式 下 载 文 件 , 则 FTP 客户 端 会 使 用 一 个 新 的 端口 与 FTP 服务 器 
建立 连接 。 反 射 ACL 由 于 无 法 为 该 附加 连接 建立 相应 的 动态 ACL 条 目 ,因此 使 用 反射 
ACL 的 网 络 ,就 只 能 使 用 主动 FTP 模式 的 FTP 服务 。CBAC 可 以 解决 这 一 问题 。 
CBAC 会 审查 FTP 客户 端 与 FTP 服务 器 间 应 用 层 流量 ,然后 根据 FTP 流量 中 的 信息 分 
别 在 状态 表 、ACL 中 为 附加 连接 建立 相应 的 条 目 。 

(2) NAT 流量 处 理 

在 配置 了 NAT 和 CBAC 的 路 由 器 上 ,对 于 从 外 网 和 人 站 的 返回 流量 ,路 由 器 先 处 理 状 
态 表 ,然后 是 ACL, 最 后 才 是 NAT。 为 了 保证 状态 表 中 有 正确 的 返回 连接 条 目 ,同时 人 
站 ACL 中 有 正确 的 返回 连接 ACL 条 目 ,CBAC 会 在 流量 从 内 网 到 外 网 时 ,使 用 审查 功能 
将 内 网 主机 的 全 局 地 址 动态 连接 条 目 加 入 状态 表 和 ACL, 
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5. CBAC 对 DoS 攻击 的 检测 

CBAC 可 以 检测 并 在 一 定 程度 上 抵御 DoS 攻击 。 可 以 配置 TCP 连接 的 超时 值 、 
TCP 连接 数量 的 阔 值 ,使 得 CBAC 审查 TCP 流量 时 ,可 以 检测 到 网 络 中 是 否 存 在 大 量 来 
自 单一 源 地 址 的 TCP SYN 报 文 . 是 否 存在 指定 时 间 段 仍 未 完成 的 TCP 连接 。 以 下 为 3 
种 常用 保护 内 网 主机 的 阔 值 。 

(D TCP 半 连 接 或 未 完成 的 UDP 会 话 数 。 

(2) 一 定时 间 内 TCP 半 连 接 或 未 完成 会 话 总 数 。 

(3) 每 个 主机 TCP 半 连 接 总 数 。 
2.5.2 CBAC 配置 方法 

在 Cisco IOS 中 配置 CBAC 的 基本 步骤 如 表 2-7 所 示 。 其 中 ,第 1、2 步 用 于 定义 和 接 
口上 应 用 过 滤 流 量 的 ACL.CBAC 审查 产生 的 动态 ACL 条 目 会 加 入 到 这 些 ACL 中 ; 第 
3 步 用 于 定义 CBAC 审查 规则 ,该 步 定 义 CBAC 审查 哪些 协议 的 流量 ; 第 4 步 指定 各 类 
协议 的 超时 值 ,主要 用 于 防范 DoS 攻击 ; 当 被 审查 的 网 络 服务 使 用 了 非 知名 的 服务 端口 
来 提供 服务 时 ,使 用 第 5 步 操 作 定义 端口 映射 ,明确 CBAC 应 审查 哪些 端口 ; 第 6 步 定 义 在 
哪些 流量 上 应 用 CBAC 审查 规则 ; 第 7 步 对 CBAC 配置 进行 检查 ,确保 CBAC 配置 正确 。 


表 2-7 CBAC 基本 配置 步骤 


序 号 操 fF 相关 命令 是 否 必要 
步骤 1 定义 ACL access-list 或 ip access-list | 是 
步骤 2 在 接口 应 用 ACL ip access-group 是 
步骤 3 定义 审查 规则 ip inspect [3 
步骤 4 定义 全 局 超时 值 ,用 于 防范 DoS ip inspect 可 选 
步骤 5 定义 端口 映射 ,用 于 审查 使 用 非 知名 din, pata 根据 网 络 服务 情 
端口 提供 的 服务 况 使 用 
步骤 6 在 接口 应 用 审查 规则 ip inspect 是 
show ip inspect " 
步骤 7 ”| 检查 CBAC 配置 Mer d: ads DES 


1. 定义 并 应 用 ACL 

在 配置 CBAC 时 需要 注意 ,只 有 在 相应 接口 上 已 经 配置 应 用 了 扩展 ACL 时 ,CBAC 
才能 将 审查 流量 产生 的 动态 ACL 条 目 添 加 到 该 ACL 中 。 

例如 图 2-13 中 , 当 为 保护 内 部 网 络 10. 0. 0. 0/24 的 安全 而 在 Routerl 配置 CBAC 
时 ,需要 首先 保证 在 Fa0/0 入 站 方向 上 配置 有 扩展 ACL, 这 样 由 CBAC 审查 产生 的 动态 
ACL 才能 添加 到 该 扩展 ACL 中 。 

注意 : 必须 是 扩展 ACL 才能 使 CBAC 正常 工作 ,因为 CBAC 产生 的 动态 ACL 条 目 
包含 源 地 址 、 目 的 地 址 \ 协 议 类 型 等 扩展 ACL 才 有 的 信息 。 

内 部 网 络 


Routerl 


Fa0/1 ==) Fa0/0 


图 2-13 CBAC 配置 示例 1 


Internet 


200.1.1.253/24 
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2. 定义 及 应 用 审查 规则 

CD 定义 审查 规则 

在 Cisco IOS 中 ,定义 审查 规则 的 操作 为 在 全 局 配置 模式 下 输入 : 

ip inspect name 审查 规则 组 名 {协议 名 | fragment maximum 分 片 最 大 数 } [ alert 

{ on | off ) ] [ audit-trail { on | off} ] [ timeout 超时 值 ] 

其 中 ,“ 审 查 规则 组 名 ”参数 为 该 组 审查 规则 在 网 络 设备 上 的 唯一 标识 。 可 以 通过 定 
义 使 用 同一 个 审查 规则 组 名 的 多 条 审查 规则 而 将 多 条 审查 规则 绑 定 在 一 起 。 

“协议 名 ”参数 定义 该 审查 规则 审查 哪 种 协议 的 流量 ,该 协议 必须 为 CBAC 支持 的 协 
议 , 如 表 2-8 所 示 。 

X218 CBAC 支持 的 协议 


协议 名 关键 字 说 9 
cuseeme CUSeeMe 协 议 
ftp 文件 传输 协议 
h323 H. 323 协议 ,例如 MS NetMeeting, Intel Video Phone 
http 超 文本 传输 协议 
icmp ICMP 协议 
netshow 微软 NetShow 协议 
rcmd 远程 命令 行 协议 ,例如 r-exec. r-login.r-sh 
realaudio Real Audio 协议 
rpc 远程 过 程 调 用 协议 
rtsp Real Time Streaming Protocol 
sip SIP 协议 
skinny Skinny 客户 端 控制 协议 ,思科 专 有 协议 
smtp 简单 邮件 传输 协议 
sqlnet SQL Net Protocol 
streamworks StreamWorks Protocol 
tcp 传输 控制 协议 
tftp TFTP 协议 
udp 用 户 报 文 协议 
vdolive VDOLive Protocol 


fragment 关键 字 和 后 面 的 最 大 值 定义 CBAC 允许 会 话 包含 分 片 的 最 大 数量 。 

alert 关键 字 和 后 面 的 on off 关键 字 用 于 定义 是 否 打开 警告 。 

audit-trail 关键 字 和 后 面 的 on off 关键 字 用 于 定义 是 否 打开 审查 审计 。 

timeout 关键 字 和 后 面 的 “超时 值 ” 参 数 用 于 定义 该 类 会 话 的 超时 时 间 。 此 处 如 果 未 
定义 超时 时 间 , 还 可 以 使 用 在 全 局 模式 下 配置 的 全 局 超时 时 间 。 

(2) 应 用 审查 规则 

在 Cisco IOS 中 ,定义 审查 规则 的 操作 为 在 接口 配置 模式 下 输入 : 


ip inspect name 审查 规则 组 名 (in | out } 


其 中 ,“ 审 查 规则 组 名 ”为 前 面 所 定义 的 审查 规则 组 名 。 
关键 字 in our 用 于 指定 对 接口 哪个 方向 的 流量 进行 审查 。 
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例如 ,要 禁止 从 Internet 向 内 部 网 络 主动 发 起 的 TCP 连接 ,但 允许 内 部 网 络 向 
Internet 主动 发 起 TCP 连接 , 则 可 以 在 Routerl 上 配置 如 下 。 


Routerl(config)# ip access-list extended eacl-out2in 

Routerl (config-ext-nacl) # deny tcp any 10.0.0.0 0.0.0.255 
Routerl(config-ext-nacl) # permit ip any any 

Routerl (config-ext-nacl) # exit 

Routerl(config) # ip inspect name cbac tcp 
Routerl(config) # interface fa0/1 

Routerl(config-i # ip inspect cbac in 

Routerl(config) # interface fa0/0 

Routerl(config-iD # ip access-group eacl-out2in in 


以 上 配置 说 明 如 下 。 

(D 创建 名 为 eacl-out2in 的 扩展 ACL, 该 扩展 ACL 将 被 应 用 到 Router] 连接 Internet 的 
接口 入 站 方向 上 ,用 于 过 滤 来 自 Internet 的 主动 TCP 连接 。 

© 拒绝 所 有 对 内 部 网 络 10. 0. 0. 0/24 的 TCP 流量 。 由 于 CBAC 审查 会 自动 在 该 
ACL 最 前 面 动态 增加 Internet 返回 内 部 网 络 的 TCP 流量 ,所 以 这 里 使 用 该 命令 拒绝 所 
有 其 他 的 TCP 流量 。 

@ 允许 所 有 IP 流量 ,以 保证 其 他 流量 不 受 影 响 。 

(D 定义 一 个 组 名 为 cbac 的 审查 规则 ,该 审查 规则 对 TCP 流量 进行 检查 。 

© 在 Routerl 连接 内 部 网 络 的 入 站 方向 上 应 用 已 定义 的 审查 规则 cbac, 审 查 所 有 内 
部 网 络 经 由 Routerl 接口 Fa0/1 进入 路 由 器 的 TCP 流量 。 

© 在 Routerl 连接 Internet 的 入 站 方向 上 应 用 已 定义 的 扩展 ACL eacl-out2in ,过 滤 
所 有 来 自 Internet 的 流量 。 

3. 定义 全 局 超时 值 及 半 连 接 最 大 值 

如 前 所 述 ,可 以 定义 各 类 协议 的 超时 值 来 防御 DoS 攻击 。 一 些 常用 的 超时 值 定义 命 
令 如 表 2-9 所 示 。 


© o © eee 


表 2-9 常用 的 超时 值 定义 


ip inspect tcp synwait-time TCP 会 话 建立 时 间 ? 
ip inspect tcp finwait-time TCP 会 话 拆除 时 间 2 
ip inspect tcp  idle-time TCP Zi& 2s PART fa] 9 
ip inspect udp idle-time UDP 会 话 空闲 时 间 ® 
ip inspect dns-timeout DNS 查询 时 间 

ip inspect tcp max-incomplete host 单机 半 连 接 最 大 值 ? 


注 : O 定义 TCP 连接 建立 , 即 3 次 握手 的 最 长 时 间 。 如 果 状 态 表 中 已 有 条 目 超 过 此 时 间 定 义 仍 未 完成 TCP 连 
接 建立 过 程 , 则 CBAC 会 自动 删除 状态 表 中 该 条 目 以 及 ACL 中 动态 添加 的 相应 ACL KA ,该 超时 值 默认 为 30 秒 ; 

Q 定义 开始 一 个 TCP 会 话 的 拆除 过 程 多 长 时 间 后 从 状态 表 中 删除 该 TCP 连接 条 目 , 其 默认 值 为 5 秒 ; 

图 定义 状态 表 中 一 个 TCP 会 话 多 长 时 间 内 没有 相应 的 TCP 流量 经 过 , 则 CBAC 会 将 其 状态 表 条 目 和 ACL 中 
相应 条 目 删除 ,其 默认 值 为 3600 E; 

QD 定义 状态 表 中 一 个 UDP 会 话 多 长 时 间 内 没有 相应 的 UDP 流量 经 过 , 则 CBAC 会 将 其 状态 表 条 目 和 ACL 中 
相应 条 目 删除 ,其 默认 值 为 30 Bs 

© 定义 状态 表 中 一 个 DNS 请 求 多 长 时 间 还 未 收 到 答复 后 ,CBAC 会 将 其 状态 表 条 目 和 ACL 中 相应 条 目 删 除 ， 
其 默认 值 为 5 秒 ; 

© 定义 每 台 主 机 的 最 大 半 连 接 会 话 数 ,范围 为 1 一 4294967295。 


fs 
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4. 定义 端口 映射 

CBAC 审查 各 类 网 络 应 用 协议 时 ,默认 按照 此 类 网 络 应 用 协议 的 知名 端口 对 其 流量 
进行 审查 。 当 实际 网 络 中 的 网 络 服务 使 用 了 非 知名 端口 提供 网 络 服务 时 ,为 保证 CBAC 
工作 正常 ,需要 配置 端口 映射 ,以 使 得 CBAC 能 够 正确 的 审查 网 络 应 用 协议 。 

在 Cisco IOS 中 ,定义 端口 映射 的 操作 为 在 全 局 配置 模式 下 输入 : 


ip portmap 网 络 服务 名 port 端口 号 [标准 ACL 名 ] 


其 中 ,“ 网 络 服务 名 ”参数 用 于 指定 哪 类 网 络 服务 使 用 了 非 知名 端口 。 

“端口 号 ?参数 用 于 定义 该 网 络 服务 使 用 了 什么 端口 。 

可 选 参数 “标准 ACL 名 ?用 于 指定 哪些 网 络 中 的 主机 在 提供 该 类 网 络 服务 时 使 用 了 
所 定义 的 非 知 名 端口 。 

配置 完 端口 映射 后 ,可 以 在 特权 模式 下 使 用 show | ip port-map 命令 来 查看 端口 映 
射 配置 情况 。 该 命令 语法 如 下 。 

show ip port-map [ ( 网 络 服务 名 | port 端口 号 } ] 

该 命令 不 带 任何 参数 , 则 显示 各 类 网 络 服务 在 Cisco IOS 中 默认 对 应 的 端口 。 

该 命令 带 网 络 服务 名 参数 , 则 显示 指定 网 络 服务 的 系统 默认 和 用 户 使 用 端口 映射 自 
定义 的 端口 。 

该 命令 带 port 关键 字 和 “端口 号 "参数, 则 显示 系统 中 指定 端口 号 对 应 的 网 络 服务 。 

show ip port-map 命令 输出 结果 如 下 。 


Routerl(config)#ip port-map http port 80 
Routerl (config) # exit 
Routerl # show ip port-map http 


Default mapping: http port 8080 user defined 
Default mapping: http port 80 system defined 
Default mapping: http port 8090 user defined 
Routerl# show ip port-map port 80 

Default mapping: http port 80 system defined 
Routerl # show ip port-map 

Default mapping: dns port 53 system defined 
Default mapping: http port 80 system defined 


5. 检查 CBAC 配置 

在 Cisco IOS 中 ,可 以 使 用 3 种 方法 检查 CBAC 的 配置 是 否 符合 要 求 : show 命令 、 
debug 命令 .警告 和 审计 。 

(1) show 命令 


在 Cisco IOS 中 可 以 在 特权 模式 下 输入 以 下 命令 来 查看 CBAC 审查 执行 情况 。 
show ip inspect { sessions | stat } 
其 中 ,使 用 sessions 参数 ,将 显示 当前 状态 表 中 的 会 话 条 目 。 
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使 用 stat 参数 ,将 显示 到 目前 为 止 ,CBAC 状态 表 会 话 条 目的 统计 信息 。 
show ip inspect 命令 的 输出 结果 如 下 。 


Routerl# show ip inspect sessions 

Established Sessions 

Session 640008CC (10. 0. 0.254:0)=>(0. 0. 0.0:0) icmp SIS OPEN 
Routerl# show ip inspect stat 

Interfaces configured for inspection 1 

Session creations since subsystem startup or last reset 14 


Current session counts (estab/half-open/terminating) [0:0:0] 


eee © 


Maxever session counts (estab/half-open/terminating) [0:1:0] 
Last session created 00:00:34 

Last statistic reset never 

Last session creation rate 1 


Last half-open session total 0 


以 上 输出 结果 说 明 如 下 。 

CD 当前 状态 表 中 有 1 条 会 话 条 目 ,该 条 目 为 主机 10. 0. 0. 254 发 出 ICMP 请 求 触 发 
的 条 目 。 

@ 截至 命令 执行 时 刻 ,已 在 1 个 接口 上 配置 了 CBAC 审查 。 

© 自从 上 次 系统 CBAC 启动 或 重新 设置 开始 到 该 命令 执行 时 刻 ,状态 表 中 共 记 录 过 
14 条 会 话 。 

(D 当前 已 建立 , 半 连 接 、 终 止 的 会 话 条 目 数 。 

O 已 建立 , 半 连 接 , 终 止 的 最 大 会 话 条 目 数 。 

(2) debug 命令 

在 Cisco IOS 中 ,可 以 在 特权 模式 下 输入 以 下 命令 来 跟踪 CBAC 审查 执行 情况 。 


debug ip inspect 协议 名 


参数 “协议 名 ”用 于 定义 只 显示 被 审查 的 ICMP 流量 。 
该 命令 输出 结果 如 下 。 


Routerl# debug ip inspect icmp [0] 
INSPECT ICMP Inspection debugging is on 

Router] # 

“Mar 105:50:11.306: CBAC ICMP: sis 640008CC pak 63C1BCCC SIS CLOSED 

ICMP packet (10. 0.0. 254:0) => (0.0.0. 0;0) datalen 72 

“Mar 105:50:11.446: CBAC* ICMP; sis 640008CC pak 63E66810 SIS OPENING 

ICMP packet (10. 0. 0. 254:0) <= (0.0.0.0:0) datalen 72 


以 上 输出 结果 说 明 如 下 。 

(D 打开 ICMP 协议 的 CBAC 审查 跟踪 。 

Q) 在 10.0.0.254 上 执行 ping 命令 后 ,CBAC 的 审查 信息 。 

@ 收 到 返回 给 10.0.0.254 的 ICMP 响应 后 ,CBAC 的 审查 信息 。 
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2.6 模拟 公司 分 支 机 构 网 络 边 界 安全 访问 控制 列表 配置 


示例 


模拟 公司 分 支 机 构 A-1 网 络 边界 使 用 Cisco 
3800 系列 路 由 器 ,分 支 机 构 C-2 网 络 边界 使 用 
Cisco 2800 系列 路 由 器 。 为 防御 可 能 来 自 
Internet 的 网 络 攻 击 ,可 分 别 参照 本 部 分 方案 1、 
方案 2 配置 所 示 ,配置 访问 控制 列表 ,实现 2. 1.2 
小 节 安 全 配置 方案 。 

注意 : 此 处 的 ACL 配置 未 考虑 实施 NAT、 
VPN 等 配置 要 求 ,关于 NAT、VPN 部 分 可 参阅 
本 书 其 他 有 关 章节 。 

分 支 机 构 A-1 网 络 拓扑 结构 如 图 2-14 所 示 。 

总 公司 及 分 支 机 构 IP 地 址 分 配 情 况 如 
K 2-10 所 示 。 分 支 机 构 网 络 内 TP 地 址 分 配 情 
况 如 表 2-11 所 示 。 其 中 各 分 支 机 构 最 后 16 个 
IP 地 址 ,分 别 作 为 网 络 设备 管理 地 址 和 网 络 服 
务 器 IP 地 址 。 


邮件 服务 器 ” 应 用 服务 器 
MailSer-1-1-1 AppSer-1-1-7 


图 2-14 分 支 机构 A-1 网 络 拓扑 示意 图 


表 2-10 模拟 公司 IP 地 址 分 配 


机 构 IP 网 络 可 用 IP 地 址 数量 
总 公司 200. 100. 8. 0/22 1022 
分 公司 1 200. 100. 12. 0/24 254 
分 公司 2 200. 100. 13. 0/24 254 
分 支 A-1 200. 100. 14. 0/25 126 
分 支 A-2 200. 100. 14. 128/26 62 
分 支 A-3 200. 100. 14. 192/26 62 
rx B-1 200. 100. 15. 0/26 62 
4x B-2 200. 100. 15. 64/26 62 
分 支 C4 200. 100. 15. 128/27 30 
分 支 C-2 200. 100. 15. 160/27 30 
串 行 链 路 1 200. 100. 15. 192/30 2 
串 行 链 路 2 200. 100. 15. 196/30 2 
串 行 链 路 3 200. 100. 15. 200/30 2 
串 行 链 路 4 200. 100. 15. 204/30 2 
串 行 链 路 5 200. 100. 15. 208/30 2 
串 行 链 路 6 200. 100. 15. 212/30 2 
串 行 链 路 7 200. 100. 15. 216/30 2 
串 行 链 路 8 200. 100. 15. 220/30 2 
串 行 链 路 9 200. 100. 15. 224/30 2 
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表 2-11 分 支 机 构 网 络 IP 地 址 分 配 


i 8 IP 地 址 
分 支 A-1 邮件 服务 器 地 址 200. 100. 14. 117/29 
分 支 A-1 应 用 服务 器 地 址 200. 100. 14. 113 一 200. 100. 14. 116/29 
分 支 A-1 网 络 设备 管理 地 址 200. 100. 14. 121—200. 100. 14. 126/29 
Arx C-2 邮件 服务 器 地 址 200. 100. 15. 181/29 
分 支 C-2 应 用 服务 器 地 址 200. 100. 15. 177~200. 100. 15. 180/29 
Arx C-2 网 络 设备 管理 地 址 200. 100. 15. 185 一 200. 100. 15. 189/29 


方案 1 


(1) 在 C3660-1-0-1 S1/1 接口 入 站 方向 上 配置 扩展 ACL。 
e JEH bogon 主机 对 分 支 机 构 网 络 的 IP 流量 。 
* 配置 定时 ACL 条 目 , 允 许 到 应 用 服务 器 指定 端口 的 流量 。 


允许 到 邮件 服务 器 的 邮件 通信 流量 。 

允许 到 内 网 网 络 设备 的 SSH 流量 。 

允许 从 Internet 到 内 网 网 络 设 备 和 服务 器 的 ICMP 流量 。 
拒绝 所 有 来 自 Internet HJ TCP, UDP, ICMP 流量 。 
允许 来 自 Internet IP 流量 。 


(2) 在 C3660-1-0-1 S1/0 接口 人 站 方向 上 配置 CBAC 条 目 cbac, 人 允许 从 Internet 返回 的 


TCP,UDP,ICMP 流量 。 


(3) 在 C3660-1-0-1 连接 分 支 网 络 的 各 子 接口 人 站 方向 配置 拒绝 所 有 TCP 和 UDP 
1524,27444,27665,16660,65000,31335 端口 ,IRC 服务 的 TCP 6665 一 6669 端口 和 木马 


常用 端口 流量 。 


(4) 在 C3660-1-0-1 连接 分 支 网 络 的 各 子 接口 入 站 方向 配置 CBAC 审查 TCP .UDP、 
ICMP 流量 ,与 S1/0 接口 入 站 方向 上 扩展 ACL 条 目 配合 ,拒绝 所 有 Internet 到 分 支 机 构 


网 络 内 除 服务 器 外 其 他 主机 的 主动 连接 。 


(5) 在 分 支 网 络 所 有 网 络 设备 VTY 线路 上 配置 标准 ACL ,拒绝 bogon 地 址 主机 但 
允许 其 他 主机 使 用 SSH 远程 登录 管理 网 络 设 备 。 


方案 1 配置 如 下 。 


ip inspect name cbac tcp 


ip inspect name cbac udp timeout 30 


ip inspect name cbac icmp 
此 处 省 略 部 分 显示 .… 
interface Loopback0 


ip address 200.100.14.114 255.255.255.255 


此 处 省 略 部 分 显示 .… 

interface FastEthernet0/0. 10 

此 处 省 略 部 分 显示 .… 

ip access-group eacl-in2out in 
ip inspect cbar in 

interface FastEthernet0/0. 20 


ee 
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此 处 省 略 部 分 显示 .… 
ip access-group 
ip inspect cbac in 

此 处 省 略 部 分 显示 … 

interface Seriall/0 

200.100.15.197 255. 255. 255. 252 
ip access-group eacl-out2in in 

此 处 省 略 部 分 显示 … 


ip access-list 


eacl-in2out in 


ip address 


standard  sacl-ssh 


deny  10.0.0.0 0,255. 255. 255 

deny 14.0.0.0 0, 255. 255. 255 

此 处 省 略 部 分 显示 … 

permit any 

! 

ip access-list extended  eacl-in2out 

deny tcp any any eq 33270 

deny tcp any eq 33270 any 

deny tcp any any eq 39168 

deny tcp any eq 39168 any 

deny udp any eq 1524 any 

deny udp any any eq 1524 

此 处 省 略 部 分 显示 … 

permit ip any any 

ip access-list extended eacl-out2in 

deny ip 0.0.0.0 1.255.255.255 any 

deny ip 2.0.0.0 0.255.255.255 any 

deny ip 5.0.0.0 0.255, 255. 255 any 

此 处 省 略 部 分 显示 … 

deny ip 224.0.0.0 31.255.255.255 any 

deny ip 200.100.14.0 0.0.0.127 any 

permit tcp any 200.100.14.112 0.0.0.7 eq 22 
permit tcp any host 200.100.14.126 eq smtp 
permit tcp any host 200.100.14.126 eq pop3 
permit tcp any 200.100.14.112 0.0.0.7 range 3000 3010 
permit icmp any 200.100.14.112 0.0.0.15 
deny tcp any any 

deny udp any any 

deny icmp any any 

permit ip any any 

此 处 省 略 部 分 显示 … 

line vty 0 4 

access-class sacl-ssh in 

此 处 省 略 部 分 显示 … 

time-range wkday 

periodic weekdays 9:00 to 17:00 


方案 1 配置 说 明 如 下 。 
D~O 配置 对 TCP, UDP, ICMP 流量 进行 审查 ,这 3 条 


@ 
0 
@ 
@ 
B 
time-range wkday 四 
® 
® 
0 
® 
® 
四 
命令 配合 访问 控制 列表 


eacl-out2in 实现 仅 允 许 分 支 机 构 网 络 到 Internet 的 TCP,UDP, ICMP 连接 ,禁止 Internet 到 
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分 支 机 构 网 络 的 主动 TCP、UDP、ICMP 连接 。 
© 在 边界 路 由 器 连接 分 支 机 构 网 络 的 各 子 接口 上 ,配置 禁止 疑 为 DDoS 攻击 的 流量 
入 站 ,防御 分 支 机 构 网 络 内 主机 被 攻陷 后 主动 向 Internet 外 恶意 用 户 发 起 的 DDoS 连接 。 
CD 在 边界 路 由 器 连接 分 支 机 构 网 络 的 各 子 接口 上 ,配置 对 入 站 TCP、UDP、ICMP 流 
量 进行 审查 。 
© 在 边界 路 由 器 连接 Internet 的 接口 上 ,应 用 对 入 站 流量 进行 过 滤 的 访问 控制 列表 
eacl-out2in 。 
该 命令 定义 用 于 限制 bogon 主机 使 用 SSH 远程 访问 该 边界 路 由 器 的 标准 ACL， 
用 于 防御 使 用 假冒 TP 地 址 对 分 支 机 构 网 络 发 动 的 攻击 。 
O~® 定义 访问 控制 列表 eacl-in2out ,禁止 可 能 被 DDoS 攻击 利用 访问 流量 。 
O~O 该 命令 定义 禁止 bogon 主机 访问 分 支 机 构 网 络 的 ACL AA. 
D 该 命令 定义 允许 使 用 SSH 远程 管理 各 网 络 设备 的 ACL 条 目 。 
D~O 该 两 条 命令 定义 允许 访问 分 支 机 构 邮 件 服务 器 的 ACL 条 目 。 
D 该 命令 用 于 定义 允许 Internet 在 指定 时 间 访 问 分 支 机 构 应 用 服务 器 TCP 3000— 
3010 端口 上 提供 的 网 络 应 用 服务 。 
D 该 命令 用 于 允许 使 用 ping 从 Internet 检查 分 支 机 构 网 络 设备 .服务 器 的 连通 性 。 
D~O 这 3 条 命令 与 审查 命令 配合 ,禁止 Internet 到 分 支 机 构 网 络 主动 TCP .UDP、 
ICMP 连接 。 
B 为 保证 路 由 协议 等 能 正常 工作 ,允许 所 有 其 他 IP 流量 。 
四 在 该 边界 路 由 器 远程 访问 线路 上 应 用 禁止 bogon 主机 访问 的 标准 ACL。 
D 为 定时 ACL 条 目 定义 的 时 间 段 wkday, 该 时 间 段 为 每 周一 至 周 五 的 早 9: 00 到 下 
^F. 5; 00, 
方案 2 
(1) 在 C2800-2-0-1 S1/1 接口 入 站 方向 上 配置 扩展 ACL. 
。 拒绝 bogon 主机 对 分 支 机 构 网 络 的 IP 流量 。 
。 配置 定时 ACL 条 目 , 允 许 到 应 用 服务 器 指定 端口 的 流量 。 
允许 到 邮件 服务 器 的 邮件 通信 流量 。 
允许 到 内 网 网 络 设备 的 SSH 流量 。 
允许 从 Internet 到 内 网 网 络 设备 和 服务 器 的 ICMP 流量 。 
允许 所 有 来 自 Internet 的 TCP、UDP、ICMP 返回 流量 。 
。 拒绝 所 有 来 自 Internet 的 TCP, UDP, ICMP 流量 。 
* 允许 来 自 Internet IP 流量 。 
(2) 在 C2600-2-0-1 Fa0/1 接口 入 站 方向 上 配置 扩展 ACL. 
* 允许 TCP、UDP、ICMP 流量 的 反射 ACL. 
。 拒绝 所 有 TCP 和 UDP 1524,27444,27665,16660,65000,31335 端口 ,IRC 服务 的 
TCP 6665 一 6669 端口 和 木马 常用 端口 流量 。 
。 允许 其 他 所 有 IP 流量 。 
(3) 在 分 支 网 络 所 有 网 络 设备 VTY 线路 上 配置 标准 ACL ,拒绝 bogon 地 址 主机 但 
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允许 其 他 主机 使 用 SSH 远程 登录 管理 网 络 设备 。 
方案 2 配置 如 下 。 


interface Loopback0 

ip address 200.100.14.114 255.255. 255. 255 
此 处 省 略 部 分 显示 … 

interface FastEthernet0/0. 10 

此 处 省 略 部 分 显示 … 

ip access-group eacl-in2out in 
interface FastEthernet0/0. 20 

此 处 省 略 部 分 显示 … 

ip access-group eacl-in2out in 

此 处 省 略 部 分 显示 … 

interface Seriall/0 

ip address 200.100.15.197  255.255.255.252 
ip access-group eacl-out2in in 

此 处 省 略 部 分 显示 … 

ip access-list standard  sacl-ssh 

deny 10.0.0.0 0,255, 255. 255 

deny 14.0.0.0 0,255, 255. 255 

此 处 省 略 部 分 显示 … 

permit any 

! 

ip access-list extended  eacl-in2out 
deny tcp any any eq 33270 

deny tcp any eq 33270 any 

deny tcp any any eq 39168 

deny tcp any eq 39168 any 

deny udp any eq 1524 any 

deny udp any any eq 1524 

此 处 省 略 部 分 显示 … 

permit tcp any any reflect rf-tcp 
permit udp any any reflect rf-udp 
permit icmp any any reflect  rf-icmp 
permit ip any any 

ip access-list extended eacl-out2in 
deny ip 0.0.0.0 1.255.255.255 any 
deny ip 2.0.0.0 0.255.255.255 any 
deny ip 5.0.0.0 0.255.255.255 any 
此 处 省 略 部 分 显示 … 

deny ip 224.0.0.0 31.255.255. 255 any 
deny ip 200.100.14.0 0.0.0.127 any 
evaluate rf-tcp 


evaluate rf-udp 

evaluate rf-icmp 

permit tep any 200.100.14.112 0.0.0.7 eq 22 

permit tcp any host 200.100.14.126 eq smtp 

permit tcp any host 200.100.14.126 eq pop3 

permit tcp any 200.100.14.112 0.0.0.7 range 3000 3010 time-range wkday 
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permit icmp any 200. 100. 14. 112 0.0.0.15 
deny tcp any any 

deny udp any any 

deny icmp any any 

permit ip any any 

此 处 省 略 部 分 显示 .… 

line vty 0 4 

access-class sacl-ssh in 

此 处 省 略 部 分 显示 … 

time-range wkday 

periodic weekdays 9:00 to 17:00 


方案 2 配置 说 明 如 下 。 
D~O 为 产生 反射 ACL 定义 的 允许 内 网 网 络 到 Internet 的 TCP、UDP、ICMP 流量 。 
@O~® 引用 反射 ACL, HF Internet 返回 内 网 网 络 的 TCP, UDP, ICMP 流量 。 


2.7 小 结 


网 络 设备 使 用 ACL 实现 流量 过 滤 功 能 。ACL 类 型 分 为 无 状态 ACL、 有 状态 ACL 
和 基于 上 下 文 ACL 3 种 。 根 据 功 能 划分 ,无 状态 ACL 分 为 基本 ACL、 扩 展 ACL、 基 于 时 
间 的 ACL 等 。ACL 的 基本 配置 步骤 分 为 两 步 : 定义 ACL AE ACL, AARS ACL 可 
以 根据 被 允许 的 流量 ,动态 产生 允许 相应 反 向 流量 的 ACL 条 目 。 基 于 上 下 文 的 ACL 也 
可 以 根据 被 审查 流量 的 配置 ,动态 产生 反 向 ACL 条 目 。 


2.8 习题 


1. 下 面 的 ACL 应 用 在 图 2-15 中 哪个 位 置 最 为 恰当 ? € D 
permit tcp host 10.0.0.1 eq 80 any 
deny tcp any any 


permit ip any any 


SI 


Fa0/0 ==) Fa0/1 


10.0.0.0/24 10.0.1.0/24 


图 2-15 题 1 图 


A. S2 接口 Fa0/1 的 和 站 方向 
B. S2 接口 Fa0/1 的 出 站 方向 
C. S2 接口 Fa0/0 的 人 站 方向 
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. S2 接口 Fa0/0 的 出 站 方向 
. S1 接口 Fa0/1 的 人 站 方向 
. S1 接口 Fa0/1 的 出 站 方向 
. SI 接口 Fa0/0 的 入 站 方向 
. S1 接口 Fa0/0 的 出 站 方向 
I. S3 接口 Fa0/0 的 入 站 方向 
J. S3 接口 Fa0/0 的 出 站 方向 
K. S3 接口 Fa0/1 的 入 站 方向 
L. S3 接口 Fa0/1 的 出 站 方向 
2. 判断 题 : 下 面 的 ACL 可 以 用 于 禁止 来 自 10. 0.0.0/24 ff] IP 流量 ,但 允许 来 自 其 
他 网 络 的 流量 。 


romummco 


ip access-list standard sacl-test 
deny  10.0.0.0 0,255, 255. 255 


3. 判断 题 : 对 于 匹配 了 带 有 established 关键 字 ACL 条 目的 流量 ,路 由 器 会 检查 是 
否 存 在 对 应 的 会 话 连接 记录 。 

4. 简 述 使 用 ACL 防御 IP 地 址 欺骗 攻击 的 方法 。 

5. 简 述 配置 CBAC 的 基本 步骤 。 
2.9 Xll 
2.9.1 无 状态 ACL 配置 

1. LIAR 

实 训 学 时 : 100 分 钟 。 

学 生 分 组 : 2 人 /组 。 

2. 实 训 目 的 

CD 通过 实 训 ,熟练 掌握 标准 ACL、 扩 展 ACL、 定 时 ACL 和 分 片 ACL 的 配置 应 用 方法 。 

(2) 加 深 对 TCP UDP 等 协议 工作 原理 的 理解 。 

(3) 理解 几 类 典型 网 络 攻击 手段 的 工作 原理 ,掌握 使 用 标准 ACL, H E ACL、 定 时 
ACL 和 分 片 ACL 防范 攻击 的 方法 。 


3. 实 训 环境 
(1) 安装 有 Windows 系统 、Wireshark 软件 和 HTTP、FTP 服务 器 软件 的 PC, 每 组 


34. 
(2) Cisco 二 层 交 换 机 ,每 组 1 台 。 

(3) Cisco 路 由 器 (建议 2600 系列 或 2800 系列 ) ,每 组 1 台 。 
(4) UTP 直通 电缆 ,每 组 3 条 。 

(5) UTP 交叉 电缆 ,每 组 1 条 。 

(6) Console 电缆 ,每 组 2 条 。 
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注意 保持 所 有 的 交换 机 、 路 由 器 为 出 厂 配置 。 


4. 实 训 准 备 

按照 图 2-16 所 示 搭 建 简化 的 模拟 公司 分 支 机 
构 网 络 ,并 按照 2.6 节 方 案 1 中 IP 地 址 分 配 情况 ， E 1 
配置 网 络 连接 和 路 由 ,注意 为 交换 机 C2960-9-0-1 un AE ; 
和 路 由 器 C2600-9-0-1 配置 管理 地 址 ,交换 机 
C2960-9-0-1 的 管理 VLAN 号 为 99, 网 络 内 服务 
器 所 在 VLAN 编号 为 10, 其 他 PC 所 在 VLAN 编 ，---------|an LL. 
号 为 20。 

本 实 训 为 简化 检测 对 实 训 环境 的 要 求 ,采用 
HTTP、FTP 服务 替代 模拟 公司 方案 中 的 邮件 服 
务 和 应 用 服务 。 实 训 前 ,在 PCc、PCb 上 启动 
HTTP、FTP 服务 程序 ,并 检测 PCa, PCe 均 能 访 ~--------------- 
间 PCe,PCb. 上 的 HTTP,FTP 服务 。 图 2-16 无 状态 ACL 配置 实 训 网 络 拓扑 


5. 实 训 内 容 

CD 配置 标准 ACL ,拒绝 所 有 bogon 主机 使 用 Telnet 远程 登录 路 由 器 和 内 网 交 
换 机 。 

(2) 配置 扩展 ACL RH ,允许 所 有 内 网 对 外 网 主动 TCP 连接 ,拒绝 所 有 Internet 对 
内 网 的 TCP 连接 请 求 。 

(3) 配置 定时 ACL % H ,允许 Internet 在 指定 时 间 段 访问 内 网 HTTP、FTP 服务 器 。 

6. 实 训 指 导 

进行 实 训 前 , 先 在 PCa 上 分 别 ping 路 由 器 ,交换 机 管理 地 址 以 及 PCc 来 测试 网 络 连 


C2600-9-0-1 


C2960-9-0-1 


分 支 机 构 


1 
1 1 

1 1 

1 1 

1 1 

1 

1 ! 网 络 
1 1 

1 1 

1 1 


通 性 。 
CD 配置 标准 ACL ,拒绝 bogon 主机 攻击 。 在 路 由 器 远程 访问 线路 接口 的 恰当 方向 
上 配置 标准 ACL ,拒绝 来 自 bogon 主机 的 访问 。 配 置 步骤 如 下 。 


C2600-9-0-1(config) # ip access-list standard sacl-telnet 
C2600-9-0-1(config-std-nacl) # deny 0.0.0.0 1.255.255. 255 
C2600-9-0-1Cconfig-std-nacD # deny 2.0.0.0 0.255.255, 255 
C2600-9-0-1Cconfig-std-nacD # deny 5.0.0.0 0.255.255. 255 
C2600-9-0-1(config-std-nacl) # deny 10.0.0.0 0.255, 255. 255 
C2600-9-0-1(config-std-nacl) # deny 14.0.0.0 0,255, 255. 255 
C2600-9-0-1Cconfig-std-nacD # deny 23.0.0.0 0.255. 255. 255 
C2600-9-0-1Cconfig-std-nacl) # deny 27.0.0.0 0.255, 255. 255 
C2600-9-0-1(config-std-nacl) # deny 31.0.0.0 0,255. 255. 255 
C2600-9-0-1Cconfig-std-nacD # deny 36.0.0.0 1.255.255. 255 
C2600-9-0-1(config-std-nacl) # deny 39.0.0.0 0.255, 255. 255 
C2600-9-0-1(config-std-nacl) # deny 42.0.0.0 0,255. 255. 255 
此 处 省 略 部 分 配置 .… 

C2600-9-0-1(config-std-nacl) # permit any 
C2600-9-0-1(config-std-nacl) # exit 

C2600-9-0-1 (config) # line vty 0 4 
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C2600-9-0-1Cconfig-line) # access-class sacl-telnet in 

C2600-9-0-1Cconfig-line) # password 123 

C2600-9-0-1(config-line) login 

C2600-9-0-1(config-line) # exit 

配置 完成 后 ,在 模拟 外 网 主机 PCc E3817 Telnet 程序 ,测试 能 否 远程 登录 路 由 器 。 
修改 模拟 外 网 主机 的 TP 地 址 为 bogon 地 址 ,测试 能 否 远程 登录 路 由 器 。 

参照 以 上 操作 ,在 交换 机 远程 访问 线路 接口 的 恰当 方向 上 配置 标准 ACL, 拒 绝 来 自 


bogon 主机 的 访问 。 


配置 完成 后 ,在 模拟 外 网 主机 上 运行 Telnet 程序 ,测试 能 否 远程 登录 交换 机 。 
修改 模拟 外 网 主机 的 IP 地 址 为 bogon 地 址 ,测试 能 否 远 程 登录 交换 机 。 
(2) 主动 TCP 连接 条 目 配置 。 在 路 由 器 远程 访问 线路 接口 的 恰当 方向 上 配置 扩展 


ACL ,允许 来 自 Internet 的 已 建立 TCP 连接 ,拒绝 其 他 TCP 流量 。 配 置 步 又 如 下 。 


C2600-9-0-1(config) # ip access-list extended  eacl-out2in 
C2600-9-0-1(Cconfig-ext-nacl) # permit tcp any any established 
C2600-9-0-1(config-ext-nacD # deny tcp any any 
C2600-9-0-1Cconfig-ext-nacD # permit ip any any 
C2600-9-0-1(config-ext-nacl) # exit 

C2600-9-0-1 (config) # interface fa0/1 

C2600-9-0-1(config-if) # ip access-group eacl-out2in in 


配置 完成 后 ,在 模拟 外 网 主机 上 和 运行 浏览 器 程序 ,测试 能 否 访问 内 网 的 HTTP、FTP 


服务 器 。 


测试 能 否 在 模拟 内 网 主机 上 运行 浏览 器 程序 ,访问 外 网 的 HTTP、FTP 服务 器 。 
使 用 show ip access-lists 命令 检查 ACL 匹配 情况 。 
(3) 定时 ACL 配置 。 在 路 由 器 远程 访问 线路 接口 的 恰当 方向 , 按 恰当 顺序 配置 定时 


ACL 条 目 ,允许 来 自 Internet 对 内 网 服务 器 的 主动 TCP 连接 。 配 置 步骤 如 下 。 


C2600-9-0-1(config) # time-range wkday 

C2600-9-0-1(config-time-range) periodic weekdays 9:00 to 17:00 

C2600-9-0-l(config) # ip access-list extended eacl-out2in 

C2600-9-0-l(config-ext-nacl) i 15 permit tcp any 200.100.14.120 0.0.0.7 eq 80 
time-range wkday 

C2600-9-0-1(config-ext-nacD # 16 permit tep any 200.100.14.120 0.0.0.7 eq 21 
time-range wkday 

C2600-9-0-l(config-ext-nacD 并 17 permit tcp any 200.100.14.120 0.0.0.7 eq 20 
time-range wkday 

C2600-9-0-1Cconfig-ext-nacD + end 

C2600-9-0-1# show clock 

12:54,06.523 UTC Thu Sep 10 2009 

C2600-9-0-1# show ip access-lists 

此 处 省 略 部 分 显示 .… 

15 permit tcp any 200.100.14.120 0.0.0.7 eq 80 timerange wkday (active) 

16 permit tcp any 200.100.14.120 0.0.0.7 eq 21 timerange wkday (active) 

17 permit tcp any 200.100.14.120 0.0.0.7 eq 20 timerange wkday (active) 
C2600-9-0-1 clock set 05:00:00 Sep 10 2009 
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C2600-9-0-1# show clock 

05:00:04. 767 UTC Thu Sep 10 2009 

C2600-9-0-1# show ip access-lists 

此 处 省 略 部 分 显示 .… 

15 permit tcp any 200.100.14.120 0.0.0.7 eq 80 time-range wkday (inactive) 
16 permit tcp any 200.100.14.120 0.0.0.7 eq 21 time-range wkday (inactive) 
17 permit tcp any 200.100.14.120 0.0.0.7 eq 20 time-range wkday (inactive) 


配置 完成 后 ,使 用 clock 命令 修改 路 由 器 的 时 钟 ,从 模拟 外 网 的 主机 上 运行 浏览 器 程 
序 ,测试 路 由 器 不 同时 间 段 ,能 否 访问 内 网 的 HTTP 服务 器 。 
注意 : 该 例 在 定义 ACL 条 目 时 ,在 命令 前 指定 ACL 条 目 序号 以 插入 ACLA, 


7. 实 训 报告 


1. 网 络 连接 情况 

接口 IP/ 网 络 前 级 VLAN 编号 网 关 地 址 
路 由 器 接口 Fa0/0 / / 
路 由 器 子 接口 99 / 
路 由 器 子 接口 10 / 
路 由 器 子 接口 20 / 
路 由 器 管理 地 址 

交换 机 管理 地 址 

PCa 

PCb 

PCc 

2. 标准 ACL sacl-telnet 所 有 条 目 及 含义 

ACL 条 目 命令 说 明 


3. 回答 问题 
如 果 在 路 由 器 Fa0/1 接口 配置 禁止 来 自 Internet 的 主动 TCP 连接 ACL 条 目 , 但 允许 来 自 Internet 到 
达 网 络 设备 的 Telnet 访问 , 则 应 如 何 配置 ACL? 


ACL 条 目 命令 说 明 


"X 
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"4 " 


4. 回答 问题 


如 果 分 支 机 构 网 络 中 的 网 络 设备 ,服务 器 上 的 Telnet 服务 只 在 周末 才 人 允许 来 自 Internet 的 主机 访问 ， 
其 他 时 刻 仅 允许 分 支 机 构 网 络 内 部 主机 访问 , 则 在 前 述 ACL 条 目 基础 上 ,应 如 何 配置 实现 该 功能 的 


ACL 条 目 ? 

ACL 条 目 命令 说 明 
应 用 该 ACL 的 命令 是 什么 ? 

应 用 ACL 的 命令 命令 说 明 


2.9.2 有 状态 及 基于 上 下 文 ACL 配置 

1. 实 训 组 织 

实 训 学 时 ; 100 分 钟 。 

学 生 分 组 : 2 人 /组 。 

2. 实 训 目的 

CD 通过 实 训 , 熟 练 掌握 反射 ACL、CBAC 的 配置 应 用 方法 。 

(2) 加 深 对 TCP、UDP 等 协议 工作 原理 的 理解 。 

(3) 理解 几 类 典型 网 络 攻 击 手段 的 工作 原理 ,掌握 使 用 反射 ACL、CBAC 防范 各 类 网 
络 攻击 的 方法 。 

3. 实 训 环境 

(1) 安装 有 Windows 系统 、Wireshark 软件 和 HTTP、FTP 服务 器 软件 及 网 络 攻 击 
软件 的 PC, 每 组 3 A. 

(2) Cisco 二 层 交 换 机 ,每 组 1 A. 

(3) Cisco 路 由 器 (建议 3600 系列 或 3800 系列 ) ,每 组 1 台 。 

(4) UTP 直通 电缆 ,每 组 3 条 。 

(5) UTP 交叉 电缆 ,每 组 1 条 。 

(6) Console 电缆 ,每 组 2 条 。 

注意 保持 所 有 的 交换 机 、 路 由 器 为 出 厂 配 置 。 
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4. 实 训 准备 

按照 图 2-17 所 示 搭 建 简化 的 模拟 公司 分 支 机 
构 网 络 ,并 按照 2.6 节 方 案 1 中 IP 地 址 分 配 情 况 ， 
配置 网 络 连接 和 路 由 ,注意 为 交换 机 C2960-9-0-1 
和 路 由 器 C3600-9-0-1 配置 管理 地 址 ,交换 机 
C2960-9-0-1 的 管理 VLAN 号 为 99 ,网络 内 服务 
器 所 在 VLAN 编号 为 10, 其 他 PC 所 在 VLAN 
编号 为 20 。 

本 实 训 为 简化 检测 对 实 训 环境 的 要 求 , 采 用 
HTTP, FTP 服务 蔡 代 模拟 公司 方案 中 的 邮件 服 
务 和 应 用 服务 。 实 训 前 ,在 PCc、PCb 上 启动 
HTTP, FTP 服务 程序 ,并 检测 PCa, PCc 均 能 访 
问 PCe,PCb 上 的 HTTP,FTP 服务 。 图 2-17 有 状态 ACL 实 训 配 置 网 络 拓扑 


5. LUA 
(1) 配置 反射 ACL, 禁 止 外 网 对 内 网 的 主动 TCP、UDP、ICMP 连接 。 
(2) 配置 CBAC, 禁 止 外 网 对 内 网 的 主动 TCP、UDP、ICMP 连接 。 


6. 实 训 指导 

进行 实 训 前 , 先 在 PCa 上 分 别 ping 路 由 器 ,交换 机 管理 地 址 以 及 PCc 来 测试 网 络 连 
通 性 。 

注意 : 本 部 分 实 训 为 简化 配置 ,在 路 由 器 Fa0/1 接口 配置 应 用 反射 ACL、CBAC, 与 
2.6 节 方案 1、 方 案 2 位 置 不 同 。 

CD 反射 ACL 配置 ,禁止 外 网 对 内 网 的 主动 TCP、UDP、ICMP 连接 。 根 据 2. 6 节 方 
案 2, 在 路 由 器 接口 的 恰当 方向 上 配置 反射 ACL, 禁 止 外 网 对 内 网 的 主动 TCP, UDP, 
ICMP 连接 。 配 置 步骤 如 下 。 


C3660-1-0-lCconfig) # ip access-list extended  eacl- in2out 
C3660-9-0-1Cconfig-ext-nacD # permit tcp any any reflect rf-tcp 
C3660-9-0-1Cconfig-ext-nacD # permit udp any any reflect rf-udp 
C3660-9-0-1Cconfig-ext-nacD # permit icmp any any reflect rf-icmp 
C3660-9-0-1Cconfig-ext-nacD # exit 

C3660-1-0-1 (config) # interface fa0/1 

C3660-1-0-l(config-if) # ip access-group  eacl-binZout out 
C3660-1-0-1Cconfig-if) # exit 

C3660-9-0-1 (config) # ip access-list extended eacl-out2in 
C3660-9-0-1Cconfig-ext-nacD # deny ip 0.0.0.0 1.255.255.255 any 
C3660-9-0-1(config-ext-nacD # deny ip 2.0.0.0 0.255.255.255 any 
C3660-9-0-l1(config-ext-nacD # deny ip 5.0.0.0 0.255.255.255 any 
此 处 省 略 部 分 显示 .… 

C3660-9-0-l(config-ext-nacD # deny ip 224.0.0.0 31.255.255. 255 any 
C3660-9-0-1(config-ext-nac) # deny ip 200.100.14.0 0.0.0.127 any 
C3660-9-0-1(config-ext-nacD # evaluate  rf-tcp 
C3660-9-0-1Cconfig-ext-nacD # evaluate  rf-udp 


44 


计算 机 网 络 安全 与 管理 


C3660-9-0-1Cconfig-ext-nacD # evaluate  rf-icmp 

C3660-9-0-1(config-ext-nacl) # permit tcp any 200.100.14.112 0.0.0.7 eq 22 
C3660-9-0-1(config-ext-nacl) # permit tcp any host PCb 的 IP 地 址 eq 80 
C3660-9-0-1Cconfig-ext-nacD # permit tcp any host PCbAY IP #hht eq 21 
C3660-9-0-1(config-ext-nacl) # permit tcp any host PCb 的 耳 地 址 eq 20 
C3660-9-0-1(config-ext-nacD # permit icmp any host PCb 的 IP 地 址 
C3660-9-0-1(config-ext-nacl) # deny tcp any any 

C3660-9-0-1(config-ext-nacl) # deny udp any any 
C3660-9-0-1(config-ext-nacl) # deny icmp any any 
C3660-9-0-1(config-ext-nacl) # permit ip any any 
C3660-9-0-1(config-ext-nacl) # exit 

C3660-9-0-1(config) # interface fa0/1 

C3660-9-0-1(config-if) # ip access-group eacl-out2in in 


配置 完成 后 ,在 模拟 外 网 主机 PCc 上 运行 浏览 器 程序 ,测试 能 否 访 问 内 网 的 HTTP、 
FTP 服务 器 PCb。 同 时 在 PCb、PCc 使 用 Wireshark 软件 ,观察 FTP 客户 端 能 否 与 FTP 
服务 器 正常 建立 下 载 连接 。 

测试 能 否 在 模拟 内 网 主机 PCa 上 运行 浏览 器 程序 ,测试 能 否 访 问 外 网 的 HTTP, 
FTP 服务 器 PCc。 同 时 在 PCa、PCc 使 用 Wireshark 软件 ,观察 FTP 客户 端 能 否 与 FTP 
服务 器 正常 建立 下 载 连接 。 

使 用 show ip access-lists 命令 检查 ACL 匹配 情况 ,检查 是 否 有 动态 反射 ACL AA 
产生 。 

(2) 配置 CBAC, 禁 止 外 网 对 内 网 的 主动 TCP.UDP ICMP 连接 。 根 据 2.6 节 方案 
1 ,在 路 由 器 接口 的 恰当 方向 上 配置 CBAC 及 ACL, 禁 止 外 网 对 内 网 的 主动 TCP. UDP, 
ICMP 连接 。 配 置 步骤 如 下 。 


C3660-1-0-l(config) & ip inspect name cbac tcp 

C3660-1-0-1 (config) & ip inspect name cbac udp 

C3660-1-0-l(config) # ip inspect name cbac icmp 

C3660-1-0-l(config) # ip inspect tcp max-incomplete host 100 

C3660-1-0-1 (config) & ip inspect tcp synwaittime 5 

C3660-1-0-l(config) # ip inspect udp  idle-ctime 5 

C3660-1-0-1 (config) # interface fa0/1 

C3660-1-0-1(config-if) # ip inspect cbac out 

C3660-1-0-1Cconfig-iD # exit 

C3660-9-0-1 (config) # ip access-list extended  eacl-out2in 
C3660-9-0-1Cconfig-ext-nacD # deny ip 0.0.0.0 1.255.255.255 any 
C3660-9-0-l(config-ext-nacl) # deny ip 2.0.0.0 0.255.255.255 any 
C3660-9-0-l(config-ext-nacD # deny ip 5.0.0.0 0.255.255.255 any 

此 处 省 略 部 分 显示 … 

C3660-9-0-1(config-ext-nacl) # deny ip 224.0.0.0 31.255.255.255 any 
C3660-9-0-1(config-ext-nacl) # deny ip 200.100.14.0 0.0.0.127 any 
C3660-9-0-1(config-ext-nacl) # permit tcp any 200.100.14.112 0.0.0.7 eq 22 
C3660-9-0-1(config-ext-nacD # permit tcp any host PCb AY IP HhiE eq 80 
C3660-9-0-1(config-ext-nacl) # permit tcp any host PCb 的 人 PP 地址 eq 21 
C3660-9-0-1(config-ext-nacl) # permit tcp any host PCbAY IP Shit eq 20 
C3660-9-0-l(config-ext-nac # permit icmp any host PCb 的 IP 地 址 
C3660-9-0-1Cconfig-ext-nacD € deny tcp any any 
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C3660-9-0-1Cconfig-ext-nacD # deny udp any any 

C3660-9-0-l(config-ext-nacD # deny icmp any any 

C3660-9-0-1(config-ext-nac) # permit ip any any 

C3660-9-0-1(config-ext-nacl) # exit 

C3660-9-0-1(config) # interface fa0/1 

C3660-9-0-1Cconfig-iD # ip access-group eacl-out2in in 

配置 完成 后 ,在 模拟 外 网 主机 PCc 上 运行 浏览 器 程序 ,测试 能 否 访 问 内 网 的 HTTP, 
FTP 服务 器 PCb。 同 时 在 PCb,PCc 使 用 Wireshark 软件 ,观察 FTP 客户 端 能 否 与 FTP 
服务 器 正常 建立 下 载 连接 。 

测试 能 否 在 模拟 内 网 主机 PCa 上 运行 浏览 器 程序 ,测试 能 否 访 问 外 网 的 HTTP, 
FTP 服务 器 PCc。 同 时 在 PCa,PCc 使 用 Wireshark 软件 ,观察 FTP 客户 端 能 否 与 FTP 
服务 器 正常 建立 下 载 连接 。 

使 用 show ip access-lists 命令 检查 ACL 匹配 情况 。 

(3) Smurf, TEN 网 络 攻击 防护 。 在 PCc 上 运行 网 络 攻击 软件 Smurf 对 模拟 分 支 机 
构 网 络 内 主机 PCa 发 动 ICMP DoS 攻击 ,并 在 路 由 器 上 使 用 show ip access-lists 命令 检查 
ACL 匹配 情况 ,查看 是 否 有 大 量 ICMP. 流量 被 丢弃 。 在 PCc 上 使 用 Wireshark 软件 观察 
Smurf 发 出 的 攻击 流量 特点 。 

在 PCc 上 运行 网 络 攻 击 软件 TFN 对 模拟 分 支 机 构 网 络 内 主机 PCa 发 动 TCP SYN 
攻击 ,并 在 路 由 器 上 使 用 show ip access-lists 命令 检查 ACL 匹配 情况 ,查看 是 否 有 大 量 
TCP 流量 被 丢弃 ; 使 用 show ip inspect 命令 检查 TCP 半 连 接 数量 。 在 PCc 上 使 用 
Wireshark 软件 观察 TFN 发 出 的 攻击 流量 特点 。 


7. KIRE 
1. 网 络 连接 情况 
接口 IP/ 网 络 前 级 VLAN 编号 网 关 地 址 
路 由 器 接口 Fa0/1 / / 
路 由 器 子 接口 99 / 
路 由 器 子 接口 ee 10 
路 由 器 子 接口 20 
路 由 器 管理 地 址 
交换 机 管理 地 址 
PCa 
PCb 
PCe 


2. 根据 反射 ACL 实 训 结 果 回 答 问 题 
如 果 将 反射 ACL eacl-in2out 中 的 3 条 反射 ACL 条 目 定义 去 掉 , 改 为 1 条 permit ip any any rfip 
是 否 可 以 成 功 ,与 使 用 3 条 反射 ACL 条 目的 区 别 是 什么 ? 
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3. 根据 反射 ACL 实 训 结 果 回 答 问题 
CD 在 配置 了 反射 ACL 条 目 后 ,内 网 主机 PCa 能 否 从 PCc 下 载 文件 ? 为 什么 ? 


(2) 在 配置 了 反射 ACL 条 目 后 ,主机 PC 能 否 从 PCb 下 载 文 件 ? 为 什么 ? 


4. 根据 CBAC 实 训 结果 回答 问题 
配置 CBAC 并 从 PCa 访问 PCc 后 ,CBAC 产生 的 动态 ACL 条 目 被 放置 在 哪个 ACL 中 的 什么 位 置 ? 


5. 根据 CBAC 实 训 防护 Smurf 攻击 结果 回答 问题 
(1) 记录 使 用 show | access-lists 检查 所 配置 的 ACL 防护 Smurf 攻击 的 输出 结果 。 


(2) 记录 使 用 show access-lists 检查 所 配置 的 ACL 防护 TFN 攻击 的 输出 结果 。 
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本 章 任务 : 根据 工程 任务 安全 需求 分 析 , 解 决 局 域 网 中 安全 配置 问题 。 
必 备 知识 : (1) AAA 技术 。 

(2) 端口 安全 技术 。 

(3) IEEE 802. 1. x。 

(4) 交换 机 访问 控制 。 

(5) DHCP 监听 。 

(6) IP 源 防护 。 

(7) 动态 ARP 检测 。 

(8) 私有 VLAN。 

(9) VLAN 跳跃 攻击 。 
学 习 目 标 : 完成 模拟 公司 总 部 局 域 网 的 网 络 安全 配置 ,防御 局 域 网 内 常见 安全 威胁 。 


3.1 模拟 网 络 局 域 网 安全 任务 分 析 


模拟 公司 总 部 局 域 网 拓扑 示意 图 如 图 3-1 所 示 , 用 户 数据 流量 由 分 布 在 各 楼 层 的 二 
层 交换 机 接 入 网 络 , 又 经 分 布 在 各 楼 宇 的 三 层 交 换 机 汇聚 ,最 终 进入 位 于 网 络 中 心 的 核心 
交换 机 高 速 转发 。 在 这 样 的 交换 网 络 中 ,可 能 会 存在 以 下 安全 问题 而 影响 网 络 的 正常 
运行 : 

CD 模拟 公司 总 部 局 域 网 中 使 用 了 大 量 Cisco 产品 ,容易 遭受 各 类 针对 Cisco 网 络 产 
品 的 网 络 攻击 威胁 ,例如 CDP 攻击 、VTP 攻击 等 。 

(2) 网 管 员 拟 用 Telnet 对 模拟 公司 总 部 局 域 网 网 络 设备 进行 远程 配置 管理 。 但 
Telnet 协议 使 用 明文 传输 方式 进行 通信 , 易 被 恶意 用 户 窃听 而 暴露 网 络 设备 管理 配置 信 
息 , 即 遭遇 Telnet 攻击 。 

(3) 由 于 从 Internet 上 可 以 非常 容易 获得 各 类 局 域 网 攻击 工具 ,因此 模拟 公司 总 部 
网 络 有 被 恶意 用 户 进行 诸如 MAC 地 址 泛 洪 、MAC 地 址 欺骗 .ARP 欺骗 ,DHCP 欺骗 攻 
击 的 安全 风险 。 而 一 些 网 络 病毒 ,例如 ARP 病毒 则 更 有 可 能 让 公司 计算 机 在 毫 不 知情 
下 发 动 ARP 攻击 。 


网 络 中 心 | 


C2960-0-1-1 L 


C3550-0-4-1 


C2960-0-2-1 C2960-0-2-n 
1 号 办 公 楼 


C2960-0-4-1 C2960-0-4-n 


C2960-0-3-1 C2960-0-3-n 
PHP, S [777 


组 织 机构 IP 地 址 
网 络 中 心 200.100.8.0/25 


行政 管理 部 门 | 200.100.8.128/25 | | 组 织 机 构 


200.100.11.0/24 


200.100.9.0/24 


市 场 部 门 | 200.100.10.0/25 
售后 部 门 | 200.100.10.128/25 


图 3-1 模拟 公司 总 部 局 域 网 拓扑 示意 图 


(4) 按照 公司 网 络 安全 管理 制度 ,模拟 公司 的 总 部 局 域 网 中 不 允许 用 户 随意 接 入 网 
络 设备 ,但 由 于 办 公 网 络 的 开放 性 ,很 难保 证 用 户 不 会 为 了 拓展 网 络 范围 或 其 他 目的 而 私 
自 向 网 络 中 接 入 交换 机 、 集 线 器 ,从 而 使 总 部 局 域 网 面临 VLAN 跳跃 攻击 、 同 VLAN 内 
主机 间 攻 击 、 非 授权 设备 接管 STP 根 、VLAN 环 路 、 非 授权 集线器 或 交换 机 接 入 网 络 等 
各 种 潜在 网 络 安全 风险 ; 同时 也 难以 保证 有 恶意 用 户 未 经 授权 接 入 办 公 网 络 。 

要 解决 以 上 网 络 安全 问题 ,可 在 模拟 公司 总 部 局 域 网 中 实施 以 下 局 域 网 安全 配置 方 
案 , 以 保障 网 络 安全 。 表 3-1 为 该 配置 方案 安全 任务 列表 。 


表 3-1 模拟 公司 总 部 局 域 网 安全 配置 任务 列表 


常见 攻击 类 别 常见 攻击 方法 相应 安全 配置 任务 

CDP 攻击 禁用 不 必要 端口 上 的 CDP 
伪造 VLAN 数据 库 的 VTP 攻 击 | 配置 VTP 域 口令 

对 网 络 设备 的 攻击 方法 1: 配置 VTY ACL 等 对 Telnet 进行 访问 控制 
Telnet 攻击 方法 2: 配置 SSH, 对 远程 访问 进行 加 密 , 并 配 

置 AAA 对 SSH 访问 进行 安全 验证 

MAC 层 攻 击 MAC 地 址 泛 洪 配置 端口 安全 ,划分 VLAN 
DHCP 欺骗 配置 DHCP 监听 
MAC 地 址 欺骗 配置 端口 安全 

sd eic ARP 欺骗 配置 DAIDHCP 监听 IP 源 防 护 
IP 地 址 欺骗 BUE IP DP 
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AK 
常见 攻击 类 别 常见 攻击 方法 相应 安全 配置 任务 
检查 交换 机 端口 模式 ,务必 使 非 干 道 端口 模式 

VLAN 攻 击 VLANI 配置 为 接 入 模式 

同 VLAN 内 主机 间 攻 击 配置 PVLAN, 隔 离 同 VLAN 内 主机 

非 授权 设备 接管 STP 根 在 接 入 端口 配置 “ 根 防 护 ” 
STP 攻击 接 人 非 授权 集线器 或 交换 机 配置 BPDU 防护 ,配置 端口 安全 

VLAN 环 路 配置 BPDU 防护 ,启用 PortFast 特性 
非 授权 主机 接 入 配置 IEEE 802. 1x 
内 网 访问 攻击 .蠕虫 等 配置 PACL、VACL 等 


CD 在 网 络 搭建 完成 后 ,禁用 总 部 局 域 网 Cisco 网 络 设备 不 必要 端口 上 的 CDP 协议 以 
防御 CDP 攻击 ; 确保 网 络 中 Cisco 交换 机 上 正确 配置 了 VTP 域 口 令 , 以 抵御 VTY 攻击 。 

(2) WH SSH 替代 Telnet 作为 远程 登录 管理 网 络 设备 的 主要 方式 ,同时 配置 AAA 
实现 远程 登录 的 统一 身份 验证 。 对 于 现 有 网 络 中 不 支持 SSH 功能 的 Cisco 网 络 设备 , 仍 
然 使 用 Telnet, 但 要 使 用 VTY、ACL 等 访问 控制 手段 加 强 网 络 设备 的 安全 保障 。 

(3) 合理 划分 VLAN ,并 在 网 络 设备 上 配置 端口 安全 特性 以 防范 MAC 地 址 泛 洪 攻 
击 和 MAC 地 址 欺骗 攻击 ; 配置 交换 机 访问 控制 ,防御 网 络 蠕虫 攻击 ,限制 主机 间 访 问 ; 
在 网 络 设备 上 启用 并 配置 DHCP 监听 安全 特性 ,以 防范 恶意 用 户 假冒 DHCP 服务 器 、 客 
户 端 ,对 网 络 中 的 DHCP 服务 进行 DoS 攻击 ; 在 网 络 设备 上 启用 并 配置 DAI 安全 特性 ， 
以 防御 越 来 越 严重 的 ARP 欺骗 攻击 ; 在 网 络 设备 上 配置 IP 源 防护 ,以 防御 TP 地 址 欺骗 
攻击 ; 在 局 域 网 接 入 交换 机 上 配置 IEEE 802. 1x 认证 ,禁止 非 授 权 计 算 机 的 接 入 。 

(4) 检查 网 络 中 所 有 交换 机 的 端口 模式 ,务必 使 非 干 道 端口 配置 为 接 入 模式 ; 在 接 入 
交换 机 上 配置 PVLAN, 隔 离 同 VLAN 内 主机 ; 在 交换 机 接 入 端口 上 配置 “ 根 防护 ”, 以 防御 非 
授权 设备 接管 “STP 根 ”; 在 网 络 设备 上 配置 BPDU(Bridge Protocol Data Unit, 网 桥 协 议 数据 单 
元 ) 防 护 和 端口 安全 特性 ,防止 非 授权 集线器 和 交换 机 接 人 网 络 ; 在 网 络 设备 上 配置 BPDU Bi 
护 , 启 用 相应 交换 机 端口 的 PortFast 特性 ,以 防止 因 用 户 私 接 网 络 设备 形成 VLAN 环 路 。 

该 安全 方案 中 有 关 * 根 防护 ”"BPDU、PortFast 等 生成 树 安全 配置 内 容 ,可 参见 本 系 
列 教材 中 《计算 机 网 络 集成 技术 ;一 书 ,本 章 不 再 袭 述 。 


3.2 AAA 技术 


3.2.1 AAA 及 RADIUS 简介 

AAA 是 一 种 网 络 访问 控制 体系 模型 , 它 支 持 多 种 方式 进行 网 络 安全 访问 控制 ,其 中 
也 包括 将 用 户 身份 信息 授权 信息 集中 保存 在 AAA 服务 器 的 数据 库 中 ,并 集中 在 AAA 服 
务 器 上 进行 访问 控制 的 方式 。 因 此 ,网 络 中 常 利用 AAA 来 实施 集中 验证 ,授权 访问 控制 。 

AAA 是 “身份 验证 ,授权 和 记 账 ”(Authentication、Authorization、Accounting) 这 3 
种 网 络 安全 功能 的 简写 。 

“验证 ?是 确定 用 户 是 谁 。 是 指 在 用 户 使 用 网 络 系统 资源 前 ,对 其 是 否 可 以 获得 访问 
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权限 进行 检查 。 

“授权 ”是 确定 用 户 能 干什么 。 是 指 对 已 通过 验证 的 用 户 ,指定 其 可 以 使 用 的 服务 和 
可 以 拥有 的 权限 。 

“ 记 账 ”是 确定 用 户 消耗 了 多 少 网 络 资源 。 是 指 利用 网 络 系统 来 收集 、 记 录用 户 使 用 
网 络 资源 情况 信息 ,以 便于 今后 向 用 户 收取 资源 使 用 费 或 进行 审计 。 

当前 流行 的 AAA 协议 是 “远程 验证 拨 入 用 户 服务 ”(Remote Authentication Dial-In 
User Service, RADIUS) ,该 协议 采用 客户 端 / 服 务 器 (Client/Server,C/S) 结 构 , 使 用 
UDP 作为 传输 协议 。RADIUS 客户 端 可 以 是 任何 “网 络 接 入 服务 器 ”(Network Access 
Server,NAS, 如 路 由 器 .交换 机 、 防 火 墙 等 ) 设 备 ,RADIUS 客户 端的 任务 是 将 用 户 的 信息 
发 送 到 指定 的 服务 器 ,然后 根据 服务 器 的 不 同 响应 进行 相应 处 理 , 如 接 和 人 / 挂 断 用 户 等 ; 
RADIUS 服务 器 通常 运行 于 一 台 工 作 站 上 ,其 任务 是 接收 RADIUS 客户 端 发 来 的 请 求 ， 
验证 用 户 身份 ,并 返回 RADIUS 客户 端 向 用 户 提供 服务 时 所 需 的 配置 信息 。RADIUS 服 
务 器 的 数据 库 中 存放 着 用 户 验证 和 网 络 服务 访问 的 相关 信息 。 

图 3-2 为 交换 机 使 用 RADIUS 进行 集中 验证 授权 的 示意 图 。 用 户 访问 交换 机 前 , 需 
要 通过 交换 机 上 的 网 络 接 人 服务 器 (RADIUS 客户 端 ) 向 RADIUS 服务 器 确认 用 户 的 身 
份 ,一 旦 身份 验证 通过 ,用 户 就 可 以 根据 授权 访问 该 交换 机 。 


RADIUS 
服务 器 


回 
| RADIUS 


RADIUS 
Access Request 
2} 


Access Accept 


网 络 接 入 服务 器 NAS 
(RADIUS 客户 端 ) 


交换 机 
的 应 答 


© ”交换 机 


图 3-2 ”使 用 RADIUS 进行 集中 验证 授权 示例 


RADIUS 客户 端 与 服务 器 间 通 信 过 程 如 图 3-3 所 示 。RADIUS 服务 器 使 用 1645、 
1646 两 个 UDP 端口 与 RADIUS 客户 端 进行 通信 ,其 中 1645 用 于 身份 验证 与 授权 , 1646 
用 于 记 账 (注意 ,新 的 RADIUS 服务 器 也 可 使 用 1812,1813 两 个 UDP 端口 ) 。 

用 户 登 录 触 发 NAS 发 送 一 个 Access-Request 类 型 的 RADIUS 协议 报 文 分 组 到 
RADIUS 服务 器 。 该 分 组 中 包括 用 户 名 、 使 用 共享 密 钥 加 密 的 用 户 密码 .RADIUS 客户 
端 与 服务 器 的 共享 密 钥 .NAS 的 IP 地 址 及 端口 、 用 户 希 望 的 会 话 类 型 (用 户 Telnet 到 网 
络 设备 时 为 Service-Type = Shell. 用 户 PPP 连接 到 网 络 设备 时 为 Service- Type = 
Framed-User 和 Framed-Type 王 PPP) 等 信息 。 

RADIUS 服务 器 收 到 Access-Request 分 组 后 ,首先 检查 其 中 的 共享 密 钥 ,确保 该 客 
户 端 的 共享 密 钥 与 服务 器 端的 一 致 。 如 果 共 享 密 钥 错误 ,服务 器 将 丢弃 该 分 组 ,也 不 发 送 
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RADIUS 
网 络 接 入 服务 器 NAS 服务 器 
(RADIUS 客户 端 ) 


Access Request 分 组 


用 户 名 、 密 码 、 共 享 密 钥 、NAS 的 IP 地 址 、NAS 端 口号 


Access Accept 或 Access Reject 分 组 


用 户 服务 类 型 、 协 议 类 型 、 已 分 配给 用 户 的 
IP 地 址 、 访 问 列表 参数 或 静态 路 由 信息 


P 
Accounting Request 分 组 
计 费 信息 


-| 
Accounting Response4) 4 
确认 计 费 信息 


图 3-3 RADIUS 客户 端 与 RADIUS 服务 器 通信 过 程 


任何 响应 信息 ; 如 果 密 钥 正 确 ,服务 器 则 将 该 分 组 中 的 信息 与 数据 库 中 的 信息 进行 对 比 。 

如 果 数 据 库 中 存在 该 分 组 信息 中 的 用 户 名 , 且 密码 有 效 , 则 服务 器 向 客户 端 返回 
Access-Accept 响应 。Access-Accept 中 包含 一 个 属性 / 值 对 的 列表 ,定义 了 用 户 和 希望 发 起 

会 话 所 要 用 到 的 一 些 参数 。 例 如 服务 类 型 (Shell 或 Framed) ,协议 类 型 .已 分 配给 用 户 

的 IP 地 址 .访问 列表 参数 或 NAS 路 由 选择 表 中 的 静态 路 由 信息 。 

如 果 数 据 库 中 检索 不 到 用 户 名 或 密码 错误 , 则 RADIUS 服务 器 向 客户 端 返回 
Access-Reject 响应 。 

注意 ,RADIUS 授权 失败 ,服务 器 也 会 发 送 Access-Reject 响应 。 
3.2.2 AAA 配置 方法 

配置 基于 RADIUS 协议 的 网 络 设备 AAA 访问 控制 操作 主要 包括 以 下 步骤 。 

(1) 在 网 络 中 安装 设置 一 台 或 多 台 RADIUS 服务 器 。 

(2) 在 网 络 设 备 上 配置 RADIUS 客户 端 。 


1. RADIUS 服务 器 安装 与 配置 

由 于 Cisco 公司 开发 的 RADIUS 服务 器 软件 Cisco ACS 需要 付费 购买 ,在 实际 应 用 中 
很 多 企业 为 降低 成 本 往往 选用 免费 开源 RADIUS 服务 器 软件 。FreeRADIUS 是 一 款 知名 的 
基于 Linux FFW RADIUS 服务 器 软件 ,可 以 提供 身份 验证 ,授权 、 记 账 等 AAA 服务 功 
能 。FreeRADIUS. net 是 用 FreeRADIUS 源码 在 Windows 平台 上 编译 形成 的 一 个 


^N 
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FreeRADIUS Windows 版 本 ,本 书 以 FreeRADIUS. net 软件 为 例 介 绍 RADIUS 的 配置 。 

安装 配置 FreeRADIUS. net 服务 器 的 主要 步骤 包括 : 下 载 安装 FreeRADIUS. net 服务 
器 软件 ; 配置 FreeRADIUS. net 接收 RADIUS 客户 端 AAA 请 求 ; 配置 FreeRADIUS. net 上 
户 验证 授权、 记 账 配置 信息 ; 检查 FreeRADIUS. net 用 户 验证 ,授权 、 记 账 信息 。 

CD FREI FreeRADIUS. net 服务 器 软件 

FreeRADIUS. net 的 官方 网 站 地 址 为 http://www. freeradius. net。 将 其 安装 程序 
压缩 包 解压 缩 后 直接 运行 , 即 可 启动 安装 FreeR ADIUS. net, 

FreeRADIUS. net 安装 过 程 如 图 3-4 一 图 3-7 所 示 ,选项 默认 即 可 。 


reeRADIUS net 1.1.7-r0.0.2 Setup =15) xl 


Welcome to the FreeRADIUS.net 
Setup Wizard 


This wizard will quide you through the installation of 
FreeRADIUS. net. 


It is recommended that you close all other applications 
before starting Setup. This will allow Setup to update certain 
system files without rebooting your computer. 


Click Next to continue. 


图 3-4 FreeRADIUS. net 安装 欢迎 界面 


NET 


License Agreement = 
Please review the license terms before installing FreeRADIUS.net. w 


Press Page Down to see the rest of the agreement, 


GNU GENERAL PUBLIC LICENSE 
Version 2, June 1991 


Copyright (C) 1989, 1991 Free Software Foundation, Inc. 

675 Mass Ave, Cambridge, MA 02139, USA 
Everyone is permitted to copy and distribute verbatim copies 
of this license document, but changing it is not allowed. 


Preamble 
| The licenses for mast software are designed to take away your _ E 


If you accept all the terms of the agreement, choose I Agree to continue. You must accept 
the agreement to install FreeRADIUS.net. 


图 3-5 FreeRADIUS. net 版 权 信息 界面 
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NEP 


Choose Install Location p 
Choose the folder in which to install FreeRADIUS.net. ty) 


Setup will install FreeRADIUS.net in the Following Folder, 


To install in a different folder, click Browse and select another folder. Click Install to start the 
installation. 


Destination Folder 


[e:\Freerapus Browse... | 


Space required: 16.5MB 
Space available: 37. 1GB 


[eg 


图 3-6 配置 FreeRADIUS. net 安装 路 径 


在 安装 FreeRADIUS. net 后 进入 安装 目录 ,双击 运行 FreeRADIUS. exe, 此 时 在 系统 
托盘 处 会 出 现 FreeRADIUS 服务 的 控制 程序 图 标 辐 . 

右 击 图 标 ,在 弹出 如 图 3-8 所 示 的 快捷 菜单 中 选择 Start FreeRADIUS. net in 
DEBUG Mode 命令 以 调试 方式 启动 FreeRADIUS 服务 。 


Q8 rr eeRADIUS net 1.1.7-r0.0.2 Setup =15) x! 


" About... 

Completing the FreeRADIUS.net Help File 

Setup Wizard After ANY Edit - RESTART Service 
Edit Users 

FreeRADIUS.net has been installed on your computer. Edit radiusd.conf 

Click Finish to close this wizard. Eo duode ses 
Edit Proxy.conf 
Edit EAP.conf 
Edit SQLconf 


[V. Run FreeRADIUS, net 
Open raddb DIR 


Open Demo Cert DIR 
Service Control 


Maintenance 
Rernove Log Files 

DEBUG 
Start FreeRADIUS.net in DEBUG Mode 
FreeRADIUS Command Shell 


FreeRADIUS. net 


Exit and Stop Service 


图 3-7 FreeRADIUS. net 安装 完成 界面 图 3-8 FreeRADIUS 控制 程序 
的 快捷 菜单 


如 果 出 现 图 3-9 所 示 的 窗口 ,其 中 显示 了 如 下 


Listening on authentication * :1812 
Listening on accounting * :1813 
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Ready to process requests. 
这 意味 着 FreeRADIUS. net 服务 器 已 经 成 功 安装 ,并 分 别 使 用 1812,1813 作为 身份 
验证 /授权 和 记 账 服务 通信 端口 开始 监听 客户 端 请 求 。 


dutmp <radutmp> 
". ./var/log/radius/radacct/xCClient-IP-Rddress)/pre-proxy-| 


tail (pre proxy log? 
". ./var/log/radius/radacet/x{Client-IP-Address)/post-proxy| 


detailperm = 511 
dirpern = 493 

locking = no 

Instantiated detail <post_proxy_log> 

detailfile "../var/log/radius/radacct/xXClient-IP-fiddress)/reply-deta| 


dirpern = 493 
detail: locking = no 

Module: Instantiated detail <reply_log> 
Listening on authentication *:1812 
Listening on accounting *:1813 

peus to process requests. 


图 3-9 FreeRADIUS, net 调试 模式 运行 的 窗口 


注意 : 可 以 根据 实际 需求 配置 FreeRADIUS. net 在 哪些 端口 上 监听 请 求 ,但 若 没有 
配置 , 则 FreeRADIUS. net 会 按照 系统 Services 文件 中 的 RADIUS 端口 相关 定义 工作 。 
Windows 系统 Services 文件 一 般 保存 在 C:\Windows\system32\drivers\etc 目录 下 面 。 

此 时 在 CMD 窗口 输入 netstat -a, 应 能 看 到 如 图 3-10 所 示 已 经 打开 进行 监听 的 
UDP1812、1813 端口 。 


图 3-10 使 用 netstat 命令 检查 RADIUS 监听 端口 


注意 : 此 时 FreeRADIUS 服务 器 按照 默认 配置 工作 ,只 能 接收 来 自 本 地 的 RADIUS 

(2) FreeRADIUS. net 主要 配置 内 容 及 相关 配置 文件 

初始 安装 后 的 FreeRADIUS. net 服务 器 程序 还 需 经 过 配置 才能 正常 工作 ,注意 修改 
新 启动 RADIUS 服务 器 修改 才能 和 FreeRADIUS. net 服务 器 的 主要 
配置 包括 : RADIUS 客户 端 地 址 ; AAA 身份 验证 信息 ; AAA 授权 信息 (可 选 ); AAA 记 
账 信 息 ( 可 选 )。 

FreeRADIUS. net 有 关 配 置 文件 均 保 存在 其 安装 目录 下 的 etc/raddb 子 目录 中 。 
X 3-2 列 出 了 其 主要 配置 文件 及 其 用 途 。 
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表 3-2 FreeRADIUS. net 主要 配置 文件 及 用 途 


配置 文件 名 用 E 
clients. conf 该 文件 定义 FreeRADIUS 可 以 接收 请 求 的 RADIUS 客户 端 信息 
该 文件 是 FreeRADIUS 用 于 保存 用 户 身份 验证 、 授 权 信息 及 如 何 进行 记 账 的 
users. conf 
配置 文件 
该 文件 是 FreeRADIUS 的 主 配置 文件 ,在 该 文件 中 定义 了 FreeRADIUS 服务 
radius. conf 器 程序 运行 在 哪个 IP 地 址 、 端 口上 ,同时 还 定义 了 FreeRADIUS 服务 器 在 哪 
里 保存 用 户 身份 验证 ,授权 、 记 账 信息 等 


(3) 配置 FreeRADIUS 服务 器 响应 的 FreeRADIUS 客户 端 地 址 

修改 FreeRADIUS 安装 目录 下 etc/raadb 子 目 录 下 的 clients. conf 文件 ,在 文件 末 按 
如 下 格式 为 每 个 RADIUS 客户 端 添 加 一 段 配置 信息 。 

client RADIUS 客户 端 IP 地 址 /网 络 前 组 长 度 { 


Secret 共享 密 钥 值 
shortname RADIUS 客户 端 主机 名 


) 

例如 ,如 果 RADIUS 客户 端的 IP 地 址 和 子 网 掩 码 分 别 为 202. 207. 122. 165.255. 
255. 255. 192, 共 享 密 钥 为 123456 ,主机 名 为 2s1, 则 要 让 FreeRADIUS 服务 器 能 处 理 该 
客户 端的 请 求 ,就 应 为 其 在 clients. conf 文件 末 增 加 以 下 内 容 。 

client 202. 207. 122. 165/26 { 

secret — 123456 


shortname =  2sl 


} 

yd. 

CD 配置 客户 端 IP 地 址 为 202. 207. 122. 165, 根 据 子 网 掩 码 计算 其 网 络 前 缀 长 度 
为 26。 

@ 配置 客户 端 与 RADIUS 服务 器 间 的 共享 密 钥 为 123456。 

© 客户 端 主机 名 为 2s1。 

(4) 配置 用 户 身份 验证 等 信息 

修改 FreeRADIUS 安装 目录 下 etc/raadb 子 目录 下 的 users. conf 文件 。 在 其 中 最 开 
始 位 置 为 每 个 用 户 按 如 下 格式 增加 一 行 配置 信息 。 

用 户 名 User-Password 一 一 “用 户 密码 ” 

除 配置 用 户 名 、 密 码 外 ,还 可 以 在 该 文件 中 为 用 户 配置 验证 协议 .授权 、` 记 账 等 信息 。 

(5) 启动 /停止 FreeRADIUS. net 

右 击 系统 托盘 中 的 FreeRADIUS. net 图 标 , 在 弹出 的 快捷 菜单 中 选择 Start 
FreeRADIUS. net Service 命令 可 以 启动 FreeRADIUS. net 服务 ,选择 Stop FreeRADIUS. net 
Service 命令 可 以 停止 FreeRADIUS. net 服务 。 要 停止 以 调试 方式 运行 的 FreeRADIUS. net 
服务 ,可 以 在 其 CMD 窗口 中 按 Ctrl+C 键 , 然 后 输入 立即 可 。 


eoo 
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(6) 查看 FreeRADIUS. net 记 账 信息 
按照 主 配置 文件 radiusd. conf 的 默认 配置 ,FreeRADIUS. net 在 其 安装 目录 下 的 
var\log\radius\radacct 子 目录 中 保存 记 账 记录 。 来 自 不 同 NAS 的 记 账 信息 会 被 分 别 保 
存在 以 NAS IP 地 址 为 目录 名 的 子 目录 中 。 默 认 情 况 下 ,每 个 NAS 子 目录 中 会 有 3 类 文件 ， 
分 别 为 auth-detail- A #4. log、detail- 日 期 . log、reply-detail- 日 期 . log。 其 中 auth-detail- 日 期 . log 
文件 为 用 户 身 份 验证 记录 ,内 容 如 下 。 
Packet-Type = Access-Request 
Fri Jul 31 16:35:16 2009 
NAS-IP-Address = 202. 207. 122. 165 
NAS-Port = 1 
NAS-Port-Type = Virtual 
User-Name — "th" 
Calling-Station-Id — "202. 207. 122. 166" 


User-Password — "123456" 
Client-IP-Address = 202. 207. 122. 165 


其 中 ， 

Packet-Type 行 表示 RADIUS 包 类 型 是 Access-Request, 即 身份 验证 请 求 。 

NAS-IP-Address 行 表示 发 出 身份 验证 请 求 的 NAS IP 地 址 为 202. 207. 122. 165. 

NAS-Port-Type 行 表示 NAS 上 触发 验证 请 求 的 是 对 Virtual 端口 的 访问 , 即 vty. 

User-Name 行 表示 请 求 身 份 验 证 的 用 户 名 是 th。 

Calling-Station-Id 行 表示 用 户 从 IP 地 址 为 202. 207. 122. 166 的 主机 上 访问 网 络 
设备 。 

User-Password 二 "123456" 行 表示 用 户 输入 的 用 户 密码 为 123456 。 

Client-IP-Address 行 表示 RADIUS 客户 端的 IP 地 址 为 202. 207. 122. 165。 

reply-detail- 日 期 . log 为 RADIUS 服务 器 响应 信息 的 记 账 记录 ,内 容 为 : 

Packet-Type = Access-Accept 

Thu Jul 30 21:55:57 2009 

Packet-Type 行 表示 RADIUS 包 类 型 是 Access-Accept, 即 接受 请 求 。 

detail- 日 期 . log 保存 记 账 记录 细节 信息 , 即 在 NAS 上 配置 需要 记 账 的 记录 ,内 容 
如 下 。 


Fri Jul 31 16:54:09 2009 
NAS-IP-Address = 202. 207. 122. 165 
NAS-Port = 1 
NAS-Port-Type = Virtual 
User-Name = "th" 
Calling-Station-Id = "202. 207. 122. 166" 
Acct-Status-Type = Stop 
Acct-Authentic = RADIUS 
Service-Type = NAS-Prompt-User 
Acct-Session-Id = "00000001" 
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Login-Service — Telnet 

Login-IP-Host — 202. 207. 122. 164 
Acct-Session-Time — 1133 

Acct-Delay-Time — 0 

Client-IP-Address = 202. 207.122.165 
Acct-Unique-Session-Id = "212a160b8758bf7b" 
Timestamp = 1249030449 


其 中 : 

Acct-Status-Type — Stop 表示 该 记 账 记录 是 对 外 连接 停止 时 产生 的 。 

Acct-Authentic — RADIUS 表示 产生 该 记 账 记录 的 协议 是 RADIUS。 

Acct-Session-Id 二 “00000001" 表 示 该 记 账 会 话 的 ID 号 。 

Login-Service — Telnet 表示 该 记 账 记录 是 登录 Telnet 服务 事件 触发 的 。 

Login-IP-Host — 202. 207. 122. 164 表示 该 记 账 记录 是 登录 IP 地 址 为 202. 207. 122. 164 
的 Telnet 服务 器 事件 触发 的 。 

以 上 配置 显示 了 用 户 从 IP 地 址 为 202. 207. 122. 166 的 主机 上 Telnet 到 IP 地 址 为 
202. 207. 122. 166 的 网 络 设备 ,然后 又 从 网 络 设备 Telnet 到 IP 地 址 为 202. 207. 122. 164 
的 服务 器 等 事件 的 记 账 记录 。 其 中 ,detail- 日 期 . log 中 的 记 账 记录 内 容 由 网 络 设备 的 相 
应 记 账 命令 定义 

2. RADIUS 客户 端 配置 

以 在 Cisco 网 络 设备 上 配置 RADIUS 客户 端 为 例 , 其 主要 操作 步骤 如 表 3-3 所 示 。 

表 3-3 RADIUS 客户 端 配置 步骤 及 相关 命令 列表 


序 号 配置 项 目 相关 命令 列表 是 否 必 要 
步骤 1 | 启用 网 络 设备 AAA 特性 aaa new-model 是 
mr 配置 RADIUS 服务 器 的 有 关 信 息 (如果 使 用 本 地 数据 | radius-server host 是 
库 , 则 此 步 可 省 ) radius-server key 
步骤 3 | 定义 AAA 验证 方法 列表 aaa authentication 是 
根据 需要 ,在 相应 线路 或 | OY ERE AAA ion authentication | qp 
步骤 4 接口 上 应 用 AAA 身份 为 PPP 过 接应 用 AAA 身价 一 - 
验证 验证 ppp authentication 可 选 
步骤 5 | 定义 AAA 授权 方法 列表 aaa authorization 可 选 
mr 根据 需要 在 相应 线路 或 接 | vty 连接 应 用 AAA 授权 | authorization 可 选 
口上 应 用 AAA 授权 为 PPP 连接 应 用 AAA 授权 | ppp authorization 可 选 
步骤 7 | 定义 AAA 记 账 方法 列表 aaa accounting 可 选 
m 根据 需要 在 相应 线路 或 接 | 为 vty 连接 应 用 AAA 记 账 | accounting 可 选 
口上 应 用 AAA 记 账 为 PPP 连接 应 用 AAA 记 账 | ppp accounting 可 选 


(1) 启用 网 络 设备 的 AAA 安全 特性 
Cisco IOS 默认 未 启用 AAA 安全 特性 ,因此 网 络 设备 要 配置 使 用 AAA, 第 一 步 就 是 
要 在 设备 上 启用 该 安全 特性 。 在 Cisco IOS 中 ,启用 AAA 安全 特性 的 命令 为 全 局 配置 模 
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式 下 输入 : 
aaa new-model 


(2) 配置 RADIUS 服务 器 的 有 关 信 息 
作为 RADIUS 客户 端 ,如 果 选 用 到 RADIUS 服务 器 上 验证 , 则 必须 知道 RADIUS 服 
务 器 在 哪里 .与 RADIUS 服务 器 通信 使 用 的 共享 密 钥 是 什么 。 
在 Cisco IOS 中 ,配置 RADIUS 服务 器 地 址 的 命令 为 全 局 配置 模式 下 输入 : 
radius-server host ( RADIUS 服务 器 的 IP 地 址 或 主机 名 } [ 可 选 参数 uuu] 
表 3-4 显示 了 该 命令 中 部 分 常用 可 选 参数 的 含义 。 
表 3-4 部 分 常用 RADIUS 服务 器 信息 参数 含义 
关 键 字 描述 


acct-port 记 账 服务 通信 端口 ,默认 为 1646 
auth-port 验证 ,授权 服务 通信 端口 ,默认 为 1645 


key 与 服务 器 间 的 共享 密 钥 ,如 配置 , 则 会 莉 盖 radius-server key 命令 配置 的 共享 密 钥 
retransmit 重 试 连接 服务 器 的 最 大 次 数 
timeout 等 待 RADIUS 服务 器 应 答 的 最 长 时 间 


如 果 网 络 上 有 多 个 RADIUS 服务 器 ,可 配置 多 条 radius-server host 命令 。 但 排 在 
配置 文件 前 面 的 为 主 RADIUS 服务 器 ,后 面 的 为 备份 RADIUS 服务 器 ,只 有 访问 主 
RADIUS 服务 器 时 ,备份 RADIUS 服务 器 才能 起 作用 。 

HEX. 若 需要 配置 备份 RADIUS 服务 , 则 应 配置 主 RADIUS 服务 器 的 重 试 连接 次 数 
和 超时 等 待 时 间 , 才 能 保证 主 RADIUS 服务 器 宕 机 后 ,客户 端 能 有 机 会 连接 到 备份 
RADIUS 服务 器 。 

在 Cisco IOS 中 ,配置 RADIUS 客户 端 、. 服 务 器 间 默 认 共 享 密 钥 的 命令 为 全 局 配置 模 
式 下 输入 : 

radius-server key { 共享 密 钥 值 } 


注意 : 此 处 配置 的 密 钥 值 要 与 在 RADIUS 服务 器 上 配置 的 共享 密 钥 保持 一 致 。 
例如 ,车 网 络 中 RADIUS 服务 器 的 IP 为 202. 207. 122. 169, 且 该 RADIUS 服务 器 使 用 
UDP 1812,1813 作为 验证 、 记 账 通信 端口 ,而 共享 密 钥 为 123456, 则 相应 的 配置 命令 为 : 


radius-server host 202.207.122.169 auth-port 1812 acct-port 1813 
radius-server key 123456 


Hp. 

配置 RADIUS 服务 器 IP 地 址 为 202. 207. 122. 169. 验证 端口 为 1812, 记 账 端口 
3g 1813, 

配置 RADIUS 服务 器 与 客户 端的 共享 密 钥 为 123456 。 

(3) 定义 AAA 身份 验证 方法 列表 

无 论 配置 AAA 身份 验证 、 授 权 还 是 记 账 ,在 Cisco IOS 中 均 需 先 定义 方法 列表 以 指 
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定 对 用 户 进行 相应 访问 控制 的 详细 参数 。 方 法 列表 定义 一 般 包 括 : 对 什么 事件 进行 验 
证 ,授权 和 记 账 ; 使 用 默认 方法 还 是 自 定义 方法 进行 验证 .授权 和 记 账 ; 使 用 什么 方式 方 
法 进行 身份 验证 ,授权 、 记 账 ; 身份 验证 ,授权 、 记 账 使 用 的 协议 等 内 容 。 

在 Cisco IOS 中 ,定义 AAA 身份 验证 方法 列表 的 命令 为 全 局 配置 模式 下 输入 : 

aaa authentication ( login | ppp | enable | 其 他 访问 方式 } ( 方法 列表 名 } { 身份 验证 方法 1 

{ 身份 验证 使 用 的 协议 } [ 身份 验证 方法 nx { 身份 验证 使 用 的 协议 }] } 

aaa authentication 命令 可 以 为 远程 登录 、 远 程 拨号 接 入 等 各 种 访问 方式 配置 身份 验 
证 方法 , 表 3-5 列 出 了 配置 身份 验证 方法 列表 时 常用 的 一 些 访问 方式 关键 字 及 含义 。 


表 3-5 常用 访问 方式 的 身份 验证 关键 字 及 含义 


访问 方式 命令 关键 字 描 述 
; 用 于 任何 基于 ASCII 登录 的 身份 验证 ,如 Telnet、SSH 和 本 地 
登录 login 
console 等 
远程 拨号 接 人 PPP 用 于 PPP 协议 远程 访问 接 入 的 身份 验证 ,例如 ISDN BRE GE 
特权 访问 enable 用 于 特权 访问 的 身份 验证 


aaa authentication 命令 中 的 “方法 列表 名 ”参数 字段 需 配 置 要 定义 的 方法 列表 名 。 该 
字段 使 用 关键 字 default 时 ,可 全 局 配置 一 个 “已 定义 默认 方法 列表 ”; 该 字段 使 用 其 他 自 
定义 的 名 字 , 则 说 明正 在 配置 一 个 自 定义 的 “命名 方法 列表 ”。“ 命 名 方法 列表 ”、“ 已 定义 
默认 方法 列表 ”和 初始 就 存在 的 “默认 方法 列表 ”是 Cisco IOS 中 3 类 优先 级 从 高 到 低 的 
方法 列表 。“ 命 名 方法 列表 ”必须 使 用 命令 应 用 到 相应 线路 、 接 口上 ,才能 生效 ; 如果 线 
路 ,接口 上 没有 应 用 命名 方法 列表 , 则 自动 应 用 “已 定义 默认 方法 列表 ”; 如 果 不 存 在 “已 
定义 默认 方法 列表 ”, 则 自动 应 用 “默认 方法 列表 ”。 

在 Cisco IOS 中 ,不 同 访问 方式 有 多 种 不 同 的 身份 验证 方法 。 其 中 ,login 登录 方式 
以 及 PPP 远程 拨号 接 入 访问 方式 的 常用 身份 验证 方法 如 表 3-6 所 示 ; enable 特权 访问 方 
式 , 只 能 使 用 default 验证 方法 。 在 一 条 aaa authentication 方法 列表 中 ,可 以 定义 多 个 身 
份 验证 方法 ,以 作为 备份 验证 方法 。 


表 3-6 login/ppp 访问 常用 身份 验证 方法 关键 字 


身份 验证 方法 “| 关键 字 H 述 适用 的 访问 方式 
特权 口令 验证 enable 将 enable 口令 用 于 身份 验证 login/PPP 
远程 服务 器 验证 | group ee TREA apep 
线路 口令 验证 line 将 line 口令 用 于 身份 验证 Login 
本 地 验证 local | 使 用 网 络 设备 本 地 配置 的 用 户 各 .密码 进行 验证 | login/PPP 
不 验证 none 不 进行 身份 验证 建议 一 般 不 要 使 用 此 关键 字 | login/PPP 
需要 就 验证 jfneeded | 只 有 需要 验证 时 才 进 行 验证 PPP 


对 于 配置 使 用 group 参数 的 方法 列表 ,还 需 配置 相应 的 “身份 验证 协议 ”来 说 明 NAS 
网 络 访问 服务 器 使 用 什么 协议 与 AAA 服务 器 进行 通信 。Cisco IOS 目前 支持 的 协议 如 


~、 


/^ 
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K 3-7 所 示 。 
表 3-7 身份 验证 协议 类 型 
身份 验证 协议 关 键 字 fi R 
定义 该 方法 列表 可 以 到 哪个 服务 器 组 内 的 AAA 服务 
服务 器 组 已 定义 的 服务 器 组 名 器 上 进行 访问 控制 处 理 
RADIUS RADIUS 到 已 配置 的 RADIUS 服务 器 进行 验证 操作 
到 已 配置 的 TACACS 十 服务 器 进行 验证 操作 ， 
TOA T TACACS 十 为 Cisco 专 有 AAA 协议 


配置 服务 器 组 ,可 以 指定 不 同 AAA 服务 器 分 别 完成 不 同 访问 控制 。 例 如 可 以 配置 
两 个 组 分 别 验证 Telnet 到 网 络 设备 和 使 用 远程 拨号 接 人 方式 访问 网 络 设备 。 在 Cisco 
IOS 中 ,定义 服务 器 组 的 有 关 命 令 为 全 局 配置 模式 下 输入 ; 


aaa group server { 服务 器 组 名 } 


在 进入 相应 服务 器 组 配置 模式 后 ,使 用 以 下 子 命令 定义 该 组 中 有 哪些 成 员 AAA 服 
务 器 。 


server { 服务 器 主机 名 或 IP 地 址 } 


例如 ,创建 名 为 tel-ras 的 命名 方法 列表 ,以 对 用 户 Telnet 远程 登录 网 络 设备 进行 基 
于 RADIUS 的 身份 验证 , 则 相应 配置 命令 为 在 全 局 配置 模式 下 输入 : 

rO(config)#aaa authentication login tel-ras group radius 

r0(config) # radius-server host 202. 207. 122. 169 

r0(config) # radius-server key 123456 

其 中 : 

(D 创建 用 于 远程 登录 网 络 设备 的 tel-ras 命名 方法 列表 ,该 身份 验证 将 到 后 面 配置 的 
RADIUS 服务 器 上 进行 验证 。 

© 配置 RADIUS 服务 器 IP 地 址 。 

© 配置 RADIUS 客户 端 与 服务 器 通信 的 共享 密 钥 。 

例如 ,分 别 创 建 名 为 tel-sg、ppp-sg 的 服务 器 组 ,以 及 名 为 tel-ras、ppp-ras 的 身份 验 
证 命名 方法 列表 ,以 实现 到 不 同 RADIUS 服务 器 上 对 用 户 Telnet、PPP 连接 进行 身份 验 
证 。 其 中 ,验证 Telnet 连接 的 RADIUS 服务 器 IP 地 址 为 202. 207. 122. 169, 验 证 PPP 连 
接 的 RADIUS 服务 器 IP 地 址 为 202. 207. 122. 168。 具 体 相关 配置 命令 为 : 


eoo 


rÜ(config)itaaa group server radius tel-sg 
r0(config-sg-radius) # server 202. 207. 122. 169 
r0(config-sg-radius) # exit 

r0(config)#aaa group server radius ppp-sg 
r0(config-sg-radius) # server 202. 207. 122. 168 

exit 

r0(config) #aaa authentication login tel-ras group tel-sg 


eo ee eo 


r0(config) f aaa authentication ppp ppp-ras group tel-sg 
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r0(config) # radius-server host 202. 207.122.169 

r0(config) # radius-server host 202. 207. 122. 168 

r0(config) # radius-server key 123456 

以 上 各 行 操作 含义 如 下 。 

(D 创建 tel-sg 服务 器 组 ,该 组 服务 器 使 用 RADIUS 协议 。 

Q) 进入 tel-sg 服务 器 组 配置 模式 ,配置 服务 器 202. 207. 122. 169 为 该 组 内 服务 器 。 

© 创建 ppp-sg 服务 器 组 ,该 组 服务 器 使 用 RADIUS 协议 。 

@ 进入 ppp-sg 服务 器 组 配置 模式 ,配置 服务 器 202. 207. 122. 168 为 该 组 内 服务 器 。 

C) 创建 远程 登录 login 验证 方法 列表 tel-ras, 它 使 用 服务 器 组 tel-sg 验证 。 

© 创建 远程 拨号 接 人 PPP 登录 验证 方法 列表 ppp-ras, 它 使 用 服务 器 组 ppp-sg 

© 配置 一 个 RADIUS 服务 器 IP 为 202. 207. 122. 169。 

@ 配置 一 个 RADIUS 服务 器 IP 为 202. 207. 122. 168。 

© 配置 RADIUS 客户 端 与 RADIUS 服务 器 的 共享 密 钥 为 123456 。 

(4) 应 用 AAA 身份 验证 方法 

命名 方法 列表 必须 在 相应 线路 或 接口 上 应 用 才能 生效 。 在 Cisco IOS 中 ,不 同 线路 、 
接口 上 应 用 方法 列表 的 命令 也 有 所 不 同 。 

在 线路 上 ,应 用 登录 身份 验证 的 命令 为 在 线路 配置 模式 下 输入 : 


login authentication ( 方法 列表 名 } 

其 中 “方法 列表 名 ”为 使 用 aaa authentication 命令 定义 的 命名 方法 列表 名 或 default。 

为 PPP 接 入 应 用 身份 验证 方法 列表 的 命令 为 在 PPP 配置 模式 下 输入 : 

ppp authentication { 验证 协议 } — ( 方法 列表 名 } 

例如 , 若 要 分 别 对 用 户 远程 登录 和 远程 拨号 接 和 人 网 络 设备 进行 基于 RADIUS 的 身份 
验证 ,并 已 定义 好 对 应 名 为 tel-ras 和 ppp-ras 的 命名 方法 列表 , 则 可 以 在 全 局 配置 模式 输 
AIFMS. 


eoo 


Router(config) # line vty 0 4 

Router(config-line) # login authentication  tel-ras 

Router(config-line) # exit 

Router(config) # Interface xx 

Router(config-iD # ppp authentication chap ppp-ras 

其 中 ,远程 登录 使 用 方法 列表 tel-ras 进行 登录 身份 验证 ; PPP 接 人 时 使 用 chap 进行 
验证 ,而 chap 验证 的 方法 由 ppp-ras 定义 。 

(5) 定义 AAA 授权 方法 列表 

定义 AAA 授权 方法 列表 的 目的 是 告诉 RADIUS 客户 端 授予 用 户 哪些 权限 。 
RADIUS 协议 将 身份 验证 与 授权 绑 定 在 一 起 进行 ,不 如 TACACS 十 协议 灵活 ,所 支持 的 
权限 类 别 有 限 ,例如 不 支持 对 Cisco 命令 级 别 等 权限 的 授权 。 

在 Cisco IOS 中 ,定义 AAA 授权 方法 列表 的 命令 为 在 全 局 配置 模式 下 输入 : 
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aaa authorization ( 权限 类 别 ) ( 方法 列表 名 } { 授权 方法 { 授权 协议 }} 


在 aaa authorization 命令 中 ,“ 权 限 类 别 " 参 数 用 于 说 明 对 哪 类 权限 进行 授权 控制 ， 
K 3-8 显示 了 aaa authorization 命令 中 可 以 用 于 RADIUS 授权 的 部 分 常用 权限 类 别 。 


表 3-8 Cisco RADIUS 常用 权限 类 别 


权限 类 别 | 关键 字 ( 参 数值 ) ii æ 


配置 授权 代理 后 ,用 户 访问 网 络 前 , 先 需 通过 Web 浏览 器 向 
RADIUS 服务 器 证 明 其 身份 , 当 用 户 成 功 通过 身份 验证 后 ， 
RADIUS 将 ACL 条 目 和 配置 文件 信息 传递 给 网 络 设备 ,授予 用 户 
继续 访问 网 络 的 权限 


授权 代理 auth-proxy 


用 户 通过 验证 后 会 进入 exec 即 用 户 配置 模式 。 此 项 配置 用 于 对 
远程 拨号 接 入 用 户 进 行 授权 ,使 用 Telnet SSH 远程 登录 的 用 户 ， 


ERP. ese 在 成 功 通过 身份 验证 后 已 经 进入 exec 模式 ,不 需要 再 对 此 项 访问 


进行 授权 

网 络 连接 network 对 用 户 进行 网 络 连接 (PPP、SLIP、ARAP) 进 行 相应 授权 

ihi Tdni | 5 对 用 户 在 成 功 通过 身份 验证 登录 网 络 设备 后 ,Telnet 到 其 他 设备 
的 访问 进行 授权 


在 aaa authorization 命令 中 ,“ 方 法 列表 ”和 “授权 协议 ”参数 的 配置 方法 参见 身份 验 
证 中 有 关 说 明 。 

在 aaa authorization 命令 中 ,“ 授 权 方 法 ”参数 用 于 说 明 网 络 设备 到 哪里 对 用 户 进行 
授权 人 处理 ,授权 方法 根据 不 同 的 “权限 类 别 "* 有 所 区 别 。 部 分 常用 授权 方法 如 表 3-9 所 示 。 


表 3-9 常用 授权 方法 


授权 方法 关键 字 描 R 
远程 服务 器 授权 group 到 group 后 所 定义 的 服务 器 上 进行 相应 授权 控制 的 处 理 
通过 验证 就 获得 授权 | if-authenticated | 只 要 用 户 通过 身份 验证 就 获得 相应 授权 
本 地 授权 local 在 本 地 数据 库 中 进行 授权 控制 的 处 理 
不 授权 none 不 进行 授权 控制 的 处 理 


(6) 应 用 AAA 授权 方法 

在 Cisco IOS 中 ,在 线路 ,接口 上 应 用 授权 方法 列表 的 命令 为 在 相应 线路 ,接口 模式 
FA: 

authorization { 权限 类 别 } { 授权 方法 列表 名 } 

有 关 参 数 定义 参见 “定义 AAA 授权 方法 列表 ?定义 部 分 相关 说 明 。 

CD 定义 AAA 记 账 方法 列表 

在 定义 AAA 记 账 方法 列表 时 ,必须 明确 对 哪些 事件 进行 记 账 ,到 哪里 完成 记 账 处 理 
等 信息 。 在 Cisco IOS 中 ,定义 AAA 记 账 方法 列表 的 命令 为 在 全 局 配置 模式 下 输入 : 


aaa accounting { 记 账 事件 ) {方法 列表 名 } { none | start-stop | stop-only } [ broadcast ] 
[group ( radius | tacacs 十 | 服务 器 组 名 } ] 
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其 中 ,“ 记 账 事件 ”参数 用 于 定义 对 哪些 事件 进行 记 账 ,用 于 RADIUS 的 部 分 常用 记 
账 事件 如 表 3-10 所 示 。 


表 3-10 常用 记 账 事件 


记 账 事件 关键 字 描 述 
验证 代理 auth-proxy 对 验证 代理 事件 进行 统计 
对 外 连接 connection 对 网 络 设备 对 外 建立 的 连接 ,例如 Telnet 进行 统计 
用 户 模式 会 话 exec 对 用 户 模式 会 话 进行 统计 ,例如 什么 用 户 登 录 、 退 出 网 络 设备 
系统 事件 — 对 系统 级 事件 ,例如 接口 状态 变化 或 路 由 器 重启 进行 统计 ( 仅 支 
持 default 方法 列表 ) 
网 络 服务 network 对 所 有 网 络 服务 ,例如 PPP、NCP 等 进行 统计 


none | start-stop | stop-only 部 分 用 于 定义 何 时 建立 统计 记录 。 其 中 start-stop 表 
示 在 事件 开始 和 结束 时 分 别 建立 统计 记录 ; stop-only 表示 只 在 事件 结束 时 建立 一 个 统 
计 记 录 ; none 表示 关闭 相应 事件 的 统计 记录 。 

broadcast 参数 表示 网 络 设备 可 以 将 记 账 (统计 ) 信 息 同 时 发 送 到 多 台 服 务 器 。 

(8) 应 用 AAA 记 账 方法 

在 Cisco IOS 中 ,在 线路 上 应 用 AAA 记 账 方法 列表 的 命令 为 在 线路 配置 模式 下 输入 
fp 

accounting ( 记 账 事件 } { 记 账 方法 列表 名 } 

在 Cisco IOS 中 ,在 接口 上 应 用 PPP 事件 AAA 记 账 方法 列表 的 命令 为 在 接口 配置 
模式 下 输入 : 

ppp accounting ”{ 记 账 方法 列表 名 } 

以 上 配置 命令 中 各 参数 用 法 可 参阅 “定义 AAA 记 账 方法 列表 ”中 有 关内 容 。 

3. RADIUS 配置 排 错 

RADIUS 配置 排 错 可 分 服务 器 端 \ 客 户 端 两 部 分 。FreeRADIUS. net 的 排 错 可 以 使 
用 调试 模式 进行 ,操作 方法 见 前 面 描述 。 在 Cisco 网 络 设备 上 ,进行 网 络 排 错 的 命令 如 
# 3-11 Ma. 

表 3-11 Cisco 网 络 设备 RADIUS 排 错 命令 


排 错 范围 命 令 d x 
M debug aaa authentication 调试 aaa 身份 验证 配置 
身份 验证 错误 debug radius authentication 调试 RADIUS 身份 验证 配置 
授权 错误 debug aaa authorization 调试 aaa 授权 配置 
show accounting 显示 记 账 信息 
记 账 错误 debug aaa accounting 调试 aaa 记 账 配置 
debug radius accounting 调试 RADIUS 记 账 配置 
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使 用 debug aaa authentication 命令 输出 示例 如 下 。 


00:46:49: AAA: parse name 一 ttyl idb type—-1 tty—-1 

00:46:49: AAA: name- ttyl flags=0x11 type=5 shelf=0 slot=0 adapter—0 port=1 channel=0 
00:46:49; AAA/MEMORY: create user (0x19C7384) user— 'NULL' ruser— 'NULL' ds0—0 port= 
"ttyl' rem addr— '202. 207. 122. 166' authen_type= ASCII service— LOGIN priv— 1 initial task id— 
'0', vrf— (id—0) 0 
00:46:49: AAA/AUTHEN/START (151585098): port— 'ttyl' list= 'tel-authen-log' action= 
LOGIN service=LOGIN 

00:46:49; AAA/AUTHEN/START (151585098) : found list tel-authen-log 
00:46:49: AAA/AUTHEN/START (151585098) : Method radius (radius) 
00:46:49; AAA/AUTHEN (151585098); status = GETUSER 

00:46:51: AAA/AUTHEN/CONT (151585098) : continue login (user= 'Cundef) ') 
00:46:51; AAA/AUTHEN (151585098); status = GETUSER 

00:46:51: AAA/AUTHEN (151585098): Method— radius (radius) 

00:46:51; AAA/AUTHEN (151585098); status = GETPASS 

00:46:54: AAA/AUTHEN/CONT (151585098): continue login Cuser— 'th') [9] 
00; : AAA/ AUTHEN (151585098) ; status = GETPASS 

00:46:54; AAA/AUTHEN (151585098) ; Method— radius (radius) 

00:46:54: AAA/ AUTHEN (151585098) : status = PASS © 


Hu. 

(D 用 户 从 IP 地 址 为 202. 207. 122. 166 的 主机 上 试图 远程 登录 到 该 网 络 设备 。 

© 在 网 络 设备 vty 线路 上 触发 对 login 访问 进行 验证 事件 ,验证 使 用 tel-auth-log 身 
份 验 证 命名 方法 列表 进行 。 

© 网 络 设备 找到 了 tel-auth-log 身份 验证 命名 方法 列表 定义 。 

@ 验证 将 基于 RADIUS 协议 进行 。 

C 用 户 输入 了 th 用 户 名 。 

© 用 户 输入 的 用 户 名 和 密码 通过 了 验证 ,状态 为 PASS。 

使 用 debug radius authentication 命令 输出 示例 如 下 。 


eec 


00:47:00; RADIUS; Pick NAS IP for u=0x1854A74 tableid—0 cfg addr—0. 0. 0. 0 
00:47:00; RADIUS; ustruct sharecount— 1 


00:47:00; Radius: radius port info() success=1 radius nas port—1 

00:47:00; RADIUS(00000000); Send Access-Request to 202. 207. 122. 166; 1812 id 1645/10, 
len 74 

00:47:00: RADIUS: authenticator CF 7C 36 69 C2 1F F7 CF - A2 75 39 F0 8D B3 C7 BC 
00:47:00: RADIUS: NAS-IP-Address [4] 6  202.207.122.166 

00:47:00; RADIUS; NAS-Port [o] 6 1 

00:47:00: RADIUS; NAS-Port-Type [61] 6 Virtual [5] 

00:47:00; RADIUS; User-Name [1] 4 = "th" 

00:47:00: RADIUS; Calling-Station-Id [31] 14 "202.207.122.166" 

00:47:00; RADIUS; User-Password [2] 18 * 

00:47:03: RADIUS; Received from id 1645/10 202. 207. 122. 166:1812, Access-Reject, len 20 
00:47:03: RADIUS; authenticator CF 57 5B D3 61 E0 OF 4D - BO 46 54 4C 24 43 A2 21 
00:47:03: RADIUS; response-authenticator decrypt fail, pak len 20 
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00:47:03: RADIUS: packet dump: 030A0014CF575BD361E00F4DB046544C2443A221 


00; : RADIUS; expected digest: F93676E09FDB6521376DE9B1C8F4DFCF 

00; : RADIUS: response authen; CF575BD361E00F4DB046544C2443A221 

00: : RADIUS: request. authen: CF7C3669C21FF7CFA27539F08DB3C7BC 
00; : RADIUS: Response (10) failed decrypt 

00: : RADIUS: Reply for 10 fails decrypt 

Hop. 


Send Access-Request to... 表 示 NAS 发 送 Access-Request 请 求 到 RADIUS 服务 器 
202. 207. 122. 166, 

Received from id... IR NAS 收 到 RADIUS 服务 器 返回 的 Access-Reject. 

RADIUS; Response (10) failed decrypt 表示 RADIUS 服务 器 返回 的 响应 信息 表明 
共享 密 钥 出 现 错误 。 

使 用 debug aaa accounting 命令 输出 示例 如 下 。 


01:02:07: AAA: parse name=ttyl idb type—-1 tty—-1 
01:02:07: AAA; name- ttyl flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=1 channel=0 

:02:07: AAA/MEMORY: create user (0x19C7474) user='NULL' ruser = 'NULL' ds0=0 
port= 'ttyl' rem addr— '202. 207. 122. 166' authen_type= ASCII service— LOGIN priv=1 initial_ 
task id— '0', vrf= (id=0) 
01:02:12: AAA/ ACCT/EXEC/START User th, port ttyl 

:02:12: AAA/ ACCT/EXEC: Found list "tel-acc-exec" 
:12; AAA/ ACCT/EXEC/START User th, Port ttyl, 

task id—2 timezone= UTC service— shell 


: AAA/ ACCT: user th, acct type 0 (1966749367) : Method radius (radius) 
AAA/ ACCT/ACCT DISC: Found list "tel-acc-exec" 
: ttyl AAA/DISC; 1/"User Request" 
AAA/ACCT/ACCT. DISC: Found list "tel-acc-exec" 
: ttyl AAA/DISC/EXT: 1020/"User Request" 
: AAA/ ACCT/ACCT DISC; Found list "tel-acc-exec" 
: ttyl AAA/DISC; 9/"NAS Error" 
: AAA/ ACCT/ACCT. DISC; Found list "tel-acc-exec" 
: ttyl AAA/DISC/EXT: 1002/"Unknown" 
: AAA/ ACCT: no attribute "elapsed time" to replace, adding it 
: AAA/ACCT/EXEC/STOP: cannot retrieve modem speed 
: AAA/ ACCT/EXEC/STOP User th, Port ttyl: 
task id— 2 timezone— UTC service— shell protocol= telnet addr = 202. 207. 122. 164 
disc-cause— 1 disc-cause-ext— 1020 connect-progress— 44 elapsed time— 733 nas-rx-speed — 0 nas- 


01:14: 
01:14; 


tx-speed—0 

01:14:25: AAA/ACCT: user th, acct type 0 (47767151): Method radius (radius) 
01:14:25; AAA/MEMORY: free user (0x19C7474) user— 'th' ruser— 'NULL' port— 'ttyl' 
rem, addr— '202. 207. 122. 166' authen type— ASCII service— LOGIN priv 一 1 


其 中 : 
AAA/ACCT/EXEC/START User th, port tty] 表示 用 户 远程 登录 网 络 设备 触发 
一 个 在 其 line 线路 上 配置 的 EXEC 类 型 的 START WIKER. 
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AAA/ACCT/EXEC: Found list "tel-acc-exec" 表 示 网 络 设备 在 系统 中 找到 了 该 记 
账 记录 对 应 的 tel-acc-exec 方法 列表 定义 。 

AAA/ ACCT/EXEC/STOP User th, Port ttyl 表示 用 户 从 远程 访问 中 退出 触发 了 
网 络 设备 line 线路 上 配置 的 EXEC 类 型 的 STOP 记 账 记录 。 

下 面 是 使 用 debug aaa accounting 命令 输出 的 另 一 个 示例 。 


01:08:53; AAA/ACCT/PROG; Updating Connect Progress for ds0 0 to 41 
01:08:54: AAA/ACCT/PROG; Updating Connect Progress for ds0 0 to 43 
01:08:54; AAA/ACCT/PROG; Updating Connect Progress for ds0 0 to 43 
01:08:54; AAA/ACCT/PROG; Updating Connect Progress for ds0 0 to 42 
01:08:54; AAA/ACCT/CONN: Found list "tel-acc-con" 

01:08:54; AAA/ ACCT/CONN/START User th, Port ttyl, Location "ttyl" 
01:08:54: AAA/ ACCT/CONN/START User th, Port ttyl, 

task id—3 timezone— UTC service— connection protocol= telnet addr = 202. 207. 122. 164 cmd — 
telnet 202. 207. 122. 164 

01:08:54: AAA/ACCT: no attribute "protocol" to replace, adding it 

01:08:54: AAA/ACCT: no attribute "addr" to replace, adding it 

01:08:54: AAA/ ACCT/PROG: Updating Connect Progress for ds0 0 to 47 
01:08:54: AAA/ACCT: user th, acct type 1 (2062869378): Method radius (radius) 
01:10:12: AAA/ACCT: no attribute "pre-bytes-in" to replace, adding it 


01:10:12: AAA/ACCT: no attribute "pre-bytes-out" to replace, adding it 
01:10:12: AAA/ACCT: no attribute "pre-paks-in" to replace, adding it 
01:10:12; AAA/ACCT: no attribute "pre-paks-out" to replace, adding it 
01:10:12: AAA/ACCT: no attribute "bytes in" to replace. adding it 
01:10:12: AAA/ACCT: no attribute "bytes out" to replace, adding it 
01:10:12; AAA/ACCT; no attribute "paks in" to replace, adding it 
01:10:12; AAA/ACCT; no attribute "paks out" to replace, adding it 
01:10:12; AAA/ACCT; no attribute "elapsed time" to replace, adding it 
01:10:12: AAA/ ACCT/CONN/STOP: cannot retrieve modem speed 


01:10:12; AAA/ACCT/CONN/STOP User th, Port ttyl; 

task id—3 timezone— UTC service= connection protocol= telnet addr = 202. 207. 122. 164 cmd — 

telnet 202. 207. 122. 164 pre-bytes-in— 0 pre-bytes-out— 0 pre-paks-in=0 pre-paks-out=0 bytes in 

—291 bytes out—102 paks in—49 paks out— 59 connect-progress— 47 elapsed time— 78 nas-rx- 

speed—0 nas-tx-speed— 0 

01:10:12: AAA/ACCT/PROG: Updating Connect Progress for ds0 0 to 44 

01:10:12: AAA/ACCT: user th, acct type 1 (2687305955) : Method radius (radius) 

其 中 : 

Updating Connect Progress for ds0 0 to 41 表示 用 户 从 网 络 设备 Telnet 到 一 个 服务 
器 的 事件 触发 了 一 个 在 其 line 线路 上 配置 的 connection 类 型 的 记 账 记录 。 

AAA/ACCT/CONN: Found list "tel-acc-con" 表 示 网 络 设备 在 系统 中 找到 了 该 记 账 
记录 对 应 的 tel-ace-con 方法 列表 定义 。 

AAA/ACCT/CONN/START User th, Port ttyl, Location "tty1" 表 示 该 事件 触发 
了 一 个 在 网 络 设备 line 线路 上 配置 的 connection 类 型 的 START 记 账 记录 。 

AAA/ACCT/CONN/STOP User th, Port ttyl 表示 用 户 退 出 到 服务 器 的 Telnet 事 
件 触发 了 在 网 络 设备 line 线路 上 配置 的 connection 类 型 的 STOP 记 账 记录 。 
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3.2.3 模拟 网 络 的 AAA 配置 

在 本 书 模拟 网 络 中 ,AAA 被 设计 用 来 实现 远程 登录 局 域 网 内 交换 机 、 路 由 器 等 网 络 
设备 时 的 集中 身份 验证 .对 外 连接 记 账 等 。 其 中 ,网 络 中 有 两 台 RADIUS 服务 器 作为 
AAA 主 备 服务 器 ,IP 地 址 分 别 为 200. 100. 8. 29/26 和 200. 100. 8. 30/26; RADIUS 共享 
密 钥 为 Net& .Sec@sjzpc; 用 户 登录 及 登录 后 的 对 外 网 络 连 接 事 件 都 要 有 记 账 记录 ; 为 防 
止 无 法 连接 RADIUS 服务 器 导致 的 远程 登录 失败 ,配置 备份 身份 验证 方法 为 line, 并 为 
此 配置 本 地 用 户 名 ,口令 以 及 line 口令 。 

模拟 公司 总 部 局 域 网 中 网 络 设 备 AAA 配置 模板 如 下 ,该 配置 模板 中 仍然 使 用 
Telnet 作为 远程 登录 方式 ,适用 于 不 支持 SSH 的 网 络 设 备 。 


username th@sjzpe password let! sjzpc 

aaa  new-model 

aaa group server radius tel-sg 
server 200.100.8.30 auth-port 1812 acct-port 1813 
server 200.100.8.29 auth-port 1812 acct-port 1813 


aaa authentication login tel-auth-in group tel-sg line 

aaa accounting exec tel-acc-exec start-stop group tel-sg 

aaa accounting connection telacc-conn start-stop group tel-sg 
此 处 省 略 部 分 配置 … 

radius-server host 200. 100. 8. 30 auth-port 1812 acct-port 1813 timeout 3 retransmit 3 
radius-server host 200.100.8.29  auth-port 1812 acct-port 1813 
! 

radius-server key Net&Sec@sjzpc 

! 

line vty 0 4 

accounting connection tel-acc-conn 

accounting exec tel-acc-exec 

login authentication  tel-auth-in 

password let! 090812 


该 模拟 公司 总 部 局 域 网 中 另 一 个 网 络 设备 AAA 配置 模板 如 下 ,该 配置 模板 中 使 月 
SSH 作为 远程 登录 方式 ,适用 于 支持 SSH 的 网 络 设备 。 


ma 


username th(Zsjzpc password let! sjzpc 

aaa new-model 

! 

aaa group server radius ssh-sg 

server 200.100.8.30 auth-port 1812 acct-port 1813 
server 200.100.8.29 auth-port 1812 acct-port 1813 

! 

aaa authentication login ssh-auth-in group ssh-sg line 
aaa accounting exec ssh-acc-exec start-stop group ssh-sg 
aaa accounting connection ssh-acc-conn start-stop group ssh-sg 
! 


此 处 省 略 部 分 配置 .… 
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radius-server host 200.100.8.30 auth-port 1812 acct-port 1813 timeout 3 retransmit 3 
radius-server host 200. 100. 8. 29  auth-port 1812 acct-port 1813 
radius-server key Net&Sec@sjzpc 
! 
line vty 0 4 
accounting connection  ssh-acc-conn 
accounting exec ssh-acc-exec 
login authentication | ssh-auth-in 
transport input ssh 
password let! 090812 
模拟 网 络 中 每 台 网 络 设备 都 需要 一 个 管理 地 址 用 于 远程 管理 ,有 关 管 理 地址 分 配方 
法 等 内 容 可 参考 本 系列 教材 中 《计算 机 网 络 集成 技术 ) 一 书 。 


3.3 IEEE 802. 1x 技术 


3.3.1 IEEE 802. 1x 技术 简介 

IEEE 802. 1x 是 一 个 两 层 安 全 访问 控制 标准 框架 ,提供 基于 端口 的 网 络 接 入 控制 , 即 
连接 在 局 域 网 接 入 控制 设备 (例如 接 入 交换 机 ) 端 口上 的 用 户 设备 只 有 通过 身份 验证 , 才 
能 通过 所 连接 的 端口 访问 局 域 网 中 资源 。 

IEEE 802. 1x 标准 框架 中 ,完成 端口 访问 控制 有 3 个 角色 : 请 求 者 (IEEE 802. 1x 客 
户 端 ) ,授权 者 (交换 机 ) 和 认证 者 (认证 服务 器 )。 其 中 交换 机 是 IEEE 802. 1x 客户 端 与 
认证 服务 器 间 的 中 介 , 它 与 IEEE 802. 1x 客户 端 使 用 封装 在 以 太 网 帧 中 的 EAP 消息 交 
换 身份 验证 有 关 信 息 ,然后 将 EAP 消息 封装 在 RADIUS 报 文中 ,中 继 给 RADIUS 认证 
服务 器 。 图 3-11 所 示 为 IEEE 802. 1x 工作 过 程 示意 图 。 


1. 初始 化 认证 

IEEE 802. 1x 客户 端 和 交换 机 任 一 方 都 可 以 初始 化 认证 过 程 。 

IEEE 802. 1x 客户 端 会 在 用 户 运行 该 客户 端 时 ,向 交换 机 发 出 EAPOL-start 消息 来 
初始 化 认证 过 程 。 交 换 机 收 到 EAPOL-start 消息 后 ,会 向 客户 端 发 出 一 个 EAP 
Request/Identity 消息 ,来 请 求 身份 验证 所 需 的 用 户 名 ; 交换 机 会 在 启用 了 端口 认证 , 端 
口 状态 由 down 向 up 迁移 时 ,向 IEEE 802. 1x 客户 端 发 出 一 个 EAP Request/Identity 消 
息 , 来 初始 化 认证 过 程 。 


2. 开始 认证 

EAP 支持 的 身份 验证 的 方法 有 多 种 ,如 表 3-12 所 示 。 不 同 身份 验证 方法 的 认证 过 
程 有 所 不 同 , 下 面 以 使 用 消息 摘要 MDS 身份 验证 方法 为 例 。 

无 论 哪 一 方 初始 化 认证 过 程 ,客户 端 程序 收 到 交换 机 发 来 的 EAP Request/Identity 
消息 后 ,会 提示 用 户 输入 用 户 名 、 口 令 , 然 后 将 用 户 输入 的 用 户 名 信息 封装 在 EAP 
Response/Identity 消息 中 返回 给 交换 机 。 

交换 机 解 封装 客户 端 发 来 的 以 太 网 帧 ,并 将 其 中 的 EAP-Response/Identity 消息 , 封 
X RADIUS Access Request 报 文 中 , 送 给 RADIUS 服务 器 进行 处 理 。 


第 3 章 局 域 网 安全 


EAP 协 议 RADIUS 协议 
EAPOL Start 初始 化 认证 
开始 认证 
EAP Request-Identify 
EAP Response-Identify _ „| RADIUS Access-Request 
RADIUS Access-Challenge 
EAP Request OTP | 一 
EAP Response OTP RADIUS Access-Request 
RADIUS Access-Accept 
EAP Success | 一 
认证 成 功 
RADIUS Accouting-Request(Start) 
RADIUS Accouting-Response| 
EAPOL Logoff 开始 记 账 
—»| RADIUS Accouting-Request(Stop) 
RADIUS Accouting-Response 
EAP Failure | 一 
用 户 下 线 
Nes 
图 3-11 IEEE 802. 1x 工作 过 程 示 意图 
表 3-12 EAP 常用 验证 方法 
Windows XP | FreeRADIUS 服 
TORRA Tun 802. 1x 选 项 “| 务 器 EAP 选项 
消息 摘要 MD5 仅 需 要 服务 器 证 书 进行 单 向 认证 ”| MD5- 质 询 md5 
传输 层 安全 TLS 用 户 在 客户 端 与 服务 器 使 用 PKI | 智能 卡 或 其 他 d 
(Transport Layer Security) | 数字 证 书 进行 双向 认证 证 书 ` 
PEAP 认证 过 程 中 ,服务 器 先 向 客 
户 端 认 证 , 然后 在 客户 端 与 
受 保护 的 扩展 认证 协议 RADIUS 服务 器 间 建 立 一 条 加 密 | 、. 
ie Microsoft; 受 保 
PEAP(Protected Extensible| 的 TLS 隧道 用 于 传输 EAP 认证 信 护 的 EAP peap 
Authentication Protocol) 息 。 该 方法 支持 多 种 验证 方式 , 包 
括 用 户 密码 和 一 次 性 密码 ,以 及 “ 通 
用 令 牌 卡 (Generic Token Card)” 


本 
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RADIUS 服务 器 收 到 交换 机 转发 的 用 户 名 信息 后 ,会 在 数据 中 找到 该 用 户 名 对 应 的 
口令 信息 ,并 用 随机 生成 的 一 个 密 钥 对 口令 进行 加 密 处 理 。 然 后 将 密 钥 通过 RADIUS 
Access Challenge 报 文 传送 给 交换 机 ,再 由 交换 机 将 其 放 在 EAP Request OTP 消息 中 转 
发 给 IEEE 802. 1x 客户 端 。 

IEEE 802. 1x 客户 端 收 到 由 交换 机 中 继而 来 的 密 钥 后 ,用 该 密 钥 加 密 口 令 , 封 装 进 
EAP Response OTP 消息 ,并 通过 交换 机 封装 进 RADIUS Access-Requeset 报 文 传 给 
RADIUS 服务 器 。 

RADIUS 服务 器 将 加 密 后 的 口令 信息 和 自己 经 过 加 密 运 算 后 的 口令 信息 进行 对 比 ， 
如 果 相 同 , 则 认为 该 用 户 为 合法 用 户 , 将 反馈 认证 通过 的 消息 EAP Success 消息 封装 进 
RADIUS Access-Accept 报 文中 发 送 给 交换 机 。 

交换 机 收 到 RADIUS Access-Accept 报 文 后 将 端口 状态 改 为 授权 状态 ,允许 用 户 通 
过 该 端口 访问 网 络 。 

在 此 过 程 中 ,如 果 交 换 机 有 相应 记 账 配置 , 则 会 向 RADIUS 服务 器 发 送 相应 记 账 请 
求 ,RADIUS 服务 器 返回 响应 并 进行 记 账 。 


3. 断 开 连 接 

当 用 户主 动 断 开 连 接 时 ,IEEE 802. 1x 客户 端 会 发 送 EAPOL LogOff 报 文 给 交换 
机 ,主动 终止 已 认证 状态 ,交换 机 将 端口 状态 从 授权 状态 改变 成 未 授权 状态 。 
3.3.2 IEEE 802. 1x 配置 方法 

IEEE 802. 1x 的 实施 需要 以 下 组 件 。 

(1) 用 户主 机 上 安装 配置 IEEE 802. 1x 客户 端 。 

(2) 配置 交换 机 的 IEEE 802. 1x 安全 特性 。 

(3) 安装 配置 RADIUS 服务 器 。 

有 关 RADIUS 服务 器 安装 配置 内 容 参见 3. 2. 2 小 节 。 


1. 安装 配置 IEEE 802. 1x 客户 端 

IEEE 802. 1x 客户 端 软 件 有 独立 软件 和 系统 组 件 两 种 形式 ,独立 软件 需要 另外 安装 。 
此 处 以 系统 组 件 形 式 为 例 。 

(1) 开启 Windows 网 络 连接 的 IEEE 802. 1x 认证 服务 

Windows XP SP2 系统 已 经 带 有 IEEE 802. 1x 客户 端 软 件 , 但 默认 没有 运行 该 软件 。 
要 运行 该 软件 ,可 单 击 “ 打 开 ” 按 钮 ,选择 “控制 面板 ”1“ 管 理工 具 ”|“ 服 务 ” 命 令 , 打 开 “ 服 
务 ” 窗 口 , 右 击 Wired AutoConfig 选项 ,在 弹出 的 快捷 菜单 中 选择 “启动 ”命令 ,启动 该 服 
务 。 启 用 Windows 系统 上 的 IEEE 802. 1x 认证 服务 如 图 3-12 所 示 。 

(2) 配置 Windows 网 络 连 接 的 IEEE 802. 1x 认证 

IEEE 802. 1x 客户 端 配置 的 核心 操作 是 定义 IEEE 802. 1x 认证 使 用 的 认证 方法 。 在 
Windows 系统 中 定义 IEEE 802. 1x 认证 方法 的 操作 如 下 。 

启动 Wired AutoConfig 服务 后 ,打开 网 络 连接 属性 对 话 框 , 如 图 3-13 所 示 , 可 以 看 
到 “身份 验证 ”选项 卡 。 选 择 该 选项 卡 ,配置 IEEE 802. 1x 认证 有 关 信 息 。 

选中 “启用 IEEE 802. 1x 身份 验证 ? 复 选 框 ,在 该 网 络 连接 上 启用 IEEE 802. 1x 身份 验证 。 
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3-12 启用 Windows 系统 上 的 IEEE 802. 1x 认证 服务 


在 “选择 网 络 身份 验证 方法 ?下拉 列 表 框 中 选择 身份 验证 方法 ,如 图 3-13 Bron ,选择 
T “Microsoft: 受 保护 的 EAP” 作 为 身份 验证 方法 。 单 击 该 下 拉 列 表 框 右 侧 的 “设置 " 按 
钮 ,在 图 3-14 所 示 “ 受 保护 的 EAP 属性 ”对 话 框 中 对 该 验证 方法 进行 详细 配置 。 


EAP. 
| 当 连 按时 : 
[T REESE 
(Ce — 0m "es 
268 
Li 受信 任 的 根 证 书 领 发 机 构思 ) 
RI "hee cer tm CA = 
JRSM (class 3 Public Primary Certification Authority g | 
ei iS [ Entrust. net Secure Server Certification Authority 
Tv [BI TERE 802 iX BRE QUI E]Eqsi fax Secure Certificate Authority 
P SDN (Ge Daddy Class 2 Certification Authority 
选择 网 络 身份 验证 方法 W: rE CyberTrust Global Root b 
[erosort SERPA mr Ce] 设置 名 i” 
TSR O F FSR FSSVER ARIS SESS E HEATER AH ©) o 
选择 身份 验证 方法 @) | 
| 安全 密码 EAF-NSCHAP v2) = REO... | 
r 所 用 快速 重新 连接 D 
r 启用 隔离 检查 人 @) 
T 如 果 服 务 器 不 在 cryptobinding TLV 上 风声 开 连接 加 ) 
| 
|] 
| CERE )( má jJ 
图 3-13 Windows 网 络 连接 的 IEEE 802. 1x 3-14 “ 受 保护 的 EAP 属性 ”对 话 框 
认证 属性 对 话 框 
EAP MSCHAPV2 RE 


在 “选择 身份 验证 方法 "下拉 列表 框 中 选择 
“安全 密码 (EAP-MSCHAP v2)” 身 份 验证 方法 。 d 
为 使 登录 网 络 时 系统 能 够 弹出 输入 窗口 ,可 单 击 DERE 和 生生 和 
其 右 侧 的 “配置 ”按钮 ,并 在 图 3-15 所 示 弹 出 的 对 
话 框 中 取消 选择 “自动 使 用 Windows 登录 名 和 密 =H 
码 " 复 选 框 , 单 击 “ 确 定 ” 按 钮 。 3-15 “EAP MSCHAPv2 属性 ”对 话 框 
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2. 在 交换 机 上 配置 IEEE 802. 1x 
在 Catalyst 交换 机 上 配置 IEEE 802. 1x 的 步骤 如 表 3-13 所 示 , 其 中 有 关 启 用 AAA 
并 配置 RADIUS 服务 器 信息 的 操作 命令 参考 3. 2.2 小 节 。 
表 3-13 Catalyst 交换 机 IEEE 802. 1x 配置 步骤 


序号 操 作 相关 命令 是 否 必 要 
启用 AAA, 并 配置 RADIUS 服务 器 有 使 用 RADIUS 方 
步骤 1 关 信 息 参见 3.2.2 小节 E 


步骤 2 | 定义 IEEE 802. 1x 身份 验证 方法 列表 aaa authentication dotlx 必要 
步骤 3 | 启用 交换 机 的 IEEE 802. 1x 身份 验证 dotlx system-auth-control 必要 


itch d 
配置 端口 启用 IEEE 802. 1x 身份 验证 及 switchport mo B res 
步骤 4 相应 参数 dotlx pae authenticator 必要 
me dotlx port-control 


检查 ,调试 端口 IEEE 802. 1x 身份 验证 | show dotlx 
Bsp 配置 debug dotlx all wie 


(D 定义 IEEE 802, 1x 身份 验证 方法 列表 
在 Cisco IOS 中 ,定义 使 用 IEEE 802. 1x 进行 身份 验证 的 命令 是 在 全 局 配置 模式 
输入 : 


aaa authentication dotlx default | 身份 验证 方式 { 身份 验证 协议 } } 


其 中 ,“ 身 份 验证 方式 ”“ 身 份 验 证 协议 ”等 参数 可 参考 3. 2. 2 节 中 有 关内 容 配置 。 
例如 ,使 用 RADIUS 进行 身份 验证 , 则 相应 的 配置 命令 为 : 


aaa authentication dotlx default group radius 


(2) 全 局 启用 IEEE 802. 1x 身份 验证 
在 Cisco IOS 中 ,定义 启用 IEEE 802. 1x 身份 验证 的 命令 是 在 全 局 配置 模式 输入 : 


dotlx system-auth-control 


该 命令 在 交换 机 上 启用 IEEE 802. 1x 方式 的 系统 身份 认证 功能 。 

(3) 配置 端口 启用 IEEE 802. 1x 身份 验证 及 相应 参数 

除了 要 启用 交换 机 上 IEEE 802. 1x 方式 的 系统 身份 认证 功能 ,还 需 指定 交换 机 上 哪 
些 端口 要 进行 IEEE 802. 1x 认证 才 可 访问 。 

在 Cisco IOS 中 ,定义 哪些 端口 启用 IEEE 802. 1x 身份 验证 的 命令 是 在 端口 配置 模 
式 输 入 : 

dotlx port-control {auto | force-authorized | force-unauthorized } 

该 命令 中 使 用 关键 字 auto, 则 定义 在 当前 端口 上 启用 IEEE 802. 1x, 并 使 端口 根据 交 
换 机 与 客户 端 之 间 的 IEEE 802. 1x 认证 情况 迁移 到 已 授权 或 未 授权 状态 。 

车 使 用 force-authorized 关键 字 , 则 将 在 该 端口 上 禁用 IEEE 802. 1x, 使 端口 不 需要 
任何 认证 就 迁移 到 已 授权 状态 ,该 模式 为 端口 的 默认 模式 。 
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车 使 用 force-unauthorized 关键 字 , 则 强制 端口 迁移 到 未 授权 状态 以 拒绝 所 有 该 端口 
的 访问 ,忽略 客户 端的 所 有 认证 请 求 ,交换 机 不 能 通过 该 端口 向 客户 端 提 供认 证 。 

注意 : 在 配置 端口 [EEE 802. lx 安全 特性 之 前 ,一 定 要 配置 端口 为 接 入 模式 ,干道 模 
式 的 端口 不 能 使 用 IEEE 802. 1x。 

在 Cisco IOS 中 ,定义 端口 为 哪 类 PAE 的 命令 是 在 端口 配置 模式 输入 : 


dotlx pae authenticator 


端口 访问 实体 (Port Access Entity,PAE) 是 一 个 与 某 个 端口 相关 联 的 支持 IEEE 802. 1x 
协议 的 逻辑 实体 。 局 域 网 端口 可 以 充当 身份 验证 者 或 申请 者 的 角色 ,或 者 同时 充当 这 两 
个 角色 。 该 命令 定义 端口 作为 身份 验证 者 。 

(4) 调试 和 检查 交换 机 的 IEEE 802. 1x 配置 

在 Cisco IOS 中 ,检查 端口 IEEE 802. 1x 配置 的 命令 是 在 特权 配置 模式 输入 : 


show dotlx (all | interface { 端口 类 型 /编号 ) } 
以 输出 端口 Fa0/22 IEEE 802. 1x 配置 为 例 ,show dotlx interface 命令 及 输出 
如 下 。 


Switch#show dotlx interface fa0/22 
Dotlx Info for FastEthernet0/22 


PAE — AUTHENTICATOR [0] 
PortControl — AUTO © 
ControlDirection = Both © 
HostMode = SINGLE_HOST [2] 
ReAuthentication — Disabled © 
QuietPeriod = 60 

ServerTimeout = 30 

SuppTimeout = 30 

ReAuthPeriod = 3600 (Locally configured) @ 
ReAuthMax =2 o 
MaxReq =2 

TxPeriod = 30 

RateLimitPeriod =0 

其 中 : 


O 表示 该 端口 的 PAE 类 型 为 身份 验证 提供 者 。 

© 表示 该 端口 控制 模式 配置 为 AUTO, 即 启用 IEEE 802. 1x 身份 验证 。 

@ 表示 该 端口 访问 控制 的 方向 为 Both, 即 对 进出 端口 的 流量 都 进行 身份 验证 。 

© 表示 该 端口 是 否 支持 对 多 个 主机 的 访问 进行 身份 验证 控制 ,SINGLE_HOST Hil 
只 支持 单 主机 连接 该 端口 ,进行 身份 验证 。 

© 表示 是 否 支 持 重 认证 ,Disabled 即 不 能 。 

表示 重 认证 时 间 间 隔 。 


/^ 
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C) 表示 最 大 的 重 认 证 次 数 。 

在 Cisco IOS 中 ,调试 交换 机 IEEE 802. 1x 配置 的 命令 是 在 特权 配置 模式 输入 ， 

debug dotlx (all |events | ) 

其 中 ,all 关键 字 将 打开 所 有 IEEE 802. 1x 调试 信息 ; 而 关键 字 events 将 显示 所 有 
IEEE 802. 1x 事件 信息 。 
3.3.3 模拟 公司 总 部 局 域 网 IEEE 802. 1x 配置 案例 

模拟 公司 总 部 2 号 楼 各 部 门 均 有 一 间 以 上 会 议 室 用 于 召开 各 类 临时 会 议 。 由 于 这 些 
会 议 室 的 网 络 接口 所 连接 主机 不 固定 ,无 法 使 用 端口 绑 定 MAC 地 址 的 方式 防止 非 授 权 
的 访问 ,所 以 对 于 这 些 会 议 室 所 连接 的 接 人 交换 机 端口 ,需要 通过 配置 IEEE 802. 1x 进 
行 访问 控制 。 各 接 入 交换 机 端口 IEEE 802. 1x 安全 特性 配置 模板 如 下 。 


aaa new-model 

aaa authentication dotlx default group radius 
此 处 省 略 … 

! 

dotlx system-auth-control 

此 处 省 略 … 

! 

interface | FastEthernet0/22 

switchport mode access 

dotlx pae authenticator 

dotlx port-control auto 

此 处 省 略 … 

! 

radius-server host 200. 100. 8. 30 auth-port 1812 acct-port 1813 
radius-server key Net&Sec@sjzpc 

! 


本 模板 中 会 议 室 信息 点 对 应 接 人 交换 机 的 端口 为 FastEthernet0/22, 在 该 端口 上 启 
用 IEEE 802. 1x 安全 特性 ,使 用 RADIUS 服务 器 200. 100. 8. 30 进行 远程 认证 。 
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3.4.1 交换 机 访问 控制 列表 技术 简介 

访问 控制 列表 作为 网 络 安全 中 一 种 基本 技术 ,在 各 层 网 络 设备 上 都 有 应 用 ,交换 机 也 
不 会 例外 。 在 Cisco Catalyst 三 层 交换 机 上 ,提供 了 如 表 3-14 所 示 4 种 不 同 的 访问 控制 
列表 技术 。Cisco Catalyst 交换 机 会 为 每 个 数据 包 进行 4 次 ACL 查找 : 入 站 和 出 站 安全 
ACL 以 及 人 站 和 出 站 QoS ACL. 
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表 3-14 ”交换 机 访问 控制 列表 技术 


类 型 d x m ”用 


Router Access Control List, 在 交换 机 三 层 接口 | 对 交换 机 路 由 接口 上 通过 的 流 
上 应 用 的 访问 控制 列表 技术 ,使 用 方法 与 第 2 | 量 进行 过 滤 。 二 层 交换 机 不 支 
章 中 介绍 的 常规 访问 控制 列表 技术 相同 持 该 功能 

VLAN 访问 控制 VLAN ees Control List. 在 交换 机 VLAN 过 滤 菜 个 VLAN 内 的 非法 流 
列表 VACL 上 应 用 的 访问 控制 列表 ,也 称 VLAN 访问 映射 量 。 二 层 交换 机 不 支持 该 功能 
表 。 支 持 对 Ethertype 和 MAC 地 址 的 过 滤 


. Port Access Control List, 在 交换 机 二 层 端 口上 
端口 访问 控制 列 应 用 的 访问 控制 列表 ,包括 IP 访问 控制 列表 、 提供 端口 级 别 颗粒 度 更 细 的 网 


eR MAC 访问 控制 列表 等 络 安全 访问 控制 


服务 质量 访问 控制 | QoS Access Control List, 用 于 指定 QoS 分 类 、| 进行 基于 端口 的 流量 控制 及 配 
列表 QoS ACL 标记 ,控制 和 调度 应 用 于 哪些 数据 流量 合 网 络 整体 QoS 配置 实现 


路 由 访问 控制 列 
表 RACL 


HK RACL、QoS 参考 本 书 第 2 章 和 第 7 章 等 有 关内 容 。 


1. VACL 实施 技术 细节 

VACL 可 以 对 三 层 交换 机 直 连 的 同一 个 VLAN 内 的 访问 流量 进行 控制 。 例 如 限制 
同一 VLAN 内 主机 间 互 相 访问 .防止 主机 受 本 网 络 内 网 络 蠕虫 攻击 等 ; 也 可 以 对 其 他 网 
络 访问 本 地 网 络 的 流量 进行 限制 。 

对 于 交换 机 上 的 VLAN 而 言 ,如 果 没 有 在 VLAN 虚 接口 上 配置 RACL 或 在 VLAN 
上 配置 VACL 来 拒绝 流量 ,那么 流量 默认 就 是 被 允许 通过 的 。 但 是 ,一 旦 在 VLAN 上 配 
置 了 VACL ,那么 交换 机 就 会 对 进入 VLAN 的 流量 进行 匹配 VACL 的 处 理 。 

与 常规 ACL 配置 相同 ,VACL 中 匹配 条 目的 顺序 非常 重要 ,而 且 每 个 VACL 最 后 都 
会 自动 隐 含 一 条 全 部 丢弃 的 条 目 。 因 此 当 流 量 进入 配置 有 VACL 的 VLAN 时 ,交换 机 
将 在 VACL 中 顺序 查找 是 否 有 匹配 的 条 目 。 如 果 存 在 匹配 条 目 , 则 按 该 条 目 后 定义 的 操 
作 进行 处 理 ; 如 果 VACL 中 不 存在 匹配 条 目 , 则 按 最 后 隐 含 的 条 目 将 流量 丢弃 。 

图 3-16 显示 了 在 三 层 交换 机 上 配置 了 VACL 和 RACL 后 ,数据 流量 被 处 理 的 工作 。 
从 PCa 发 送 给 PCb 的 流量 进入 交换 机 后 ,首先 进行 VLAN10 上 配置 的 VACL 检查 ,如 
果 允 许 转发 , 则 转发 给 PCb; 而 从 PCa 发 送 给 PCc 的 流量 进入 交换 机 后 ,除了 进行 
VLAN10 上 配置 的 VACL 检查 ,还 需要 在 被 路 由 到 PCc 所 在 VLAN20 前 ,进行 虚 接 口 
VLANIO 上 入 方向 的 RACL 检查 、 出 方向 的 RACL 检查 ,以 及 进入 VLAN20 后 的 
VACL 检查 ,才能 转发 给 PCc。 


2. PACL 实施 技术 细节 

PACL 可 以 在 Cisco 交换 机 的 二 层 接 入 ,干道 或 EtherChannell 端口 上 配置 ,相对 
VACL、RACL 提供 更 细 的 访问 控制 颗粒 度 。PACL 可 以 使 用 3 种 类 型 的 访问 控制 列表 : 
标准 访问 控制 列表 、 扩 展 访问 控制 列表 和 MAC 扩展 访问 控制 列表 。 但 是 需要 注意 的 是 ， 
标准 访问 控制 列表 、 扩 展 访问 控制 列表 只 用 于 过 滤 卫 分 组 ,而 MAC 扩展 访问 控制 列表 
只 能 过 滤 非 IP 分 组 ,例如 ARP 报 文 。 另 外 ,如 果 在 某 端 口上 配置 了 PACL, 则 该 端口 所 
属 VLAN 上 配置 的 VACL 会 在 该 端口 上 失效 。 
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图 3-16 VACL.RACL 工作 示例 


3.4.2 配置 VACL 
1E Cisco Catalyst 交换 机 上 配置 VACL 的 操作 步骤 与 常规 ACL 一 样 ,需要 先 定义 一 
个 VLAN 访问 映射 表 , 指 明 匹 配 条 件 和 相应 操作 ,然后 将 其 应 用 到 相应 VLAN E, KR. 
体操 作 命 令 如 表 3-15 所 示 。 
表 3-15 VACL 配置 步骤 


相关 命令 
ls = 基于 MAC 地 址 基于 IP 
mac access-list ip access-list 
步骤 1 | 定义 VACL 访问 映射 表 要 过 滤 的 流量 m pit 
me XE X. VLAN 访问 映射 表 的 名 称 和 序号 , | vlan access-map 
并 配置 匹配 条 件 、 匹 配 后 操作 match.action 
步骤 3 | 应 用 VLAN 访问 映射 表 vlan filter 


show vlan access-map 


步骤 4 | 检查 调试 VLAN 访问 映射 表 配 置 


show vlan filter 


AK ip access-list 命令 的 使 用 方法 参见 第 2 章 常规 ACL 配置 内 容 ; AK mac 
access-list 的 配置 内 容 参 见 3. 5. 3 小 节 配 置 PACL 部 分 。 


1. 定义 并 应 用 VLAN 访问 映射 表 
Cisco IOS 上 定义 VLAN 访问 映射 表 的 操作 为 在 全 局 配置 模式 下 输入 : 


vlan access-map { VLAN 访问 映射 表 名 } [ 映射 表 条 目 编号 ] 

match { ip address { IP 访问 控制 列表 标识 } | mac address ( MAC 扩展 访问 控制 列 
EA) 

action {drop | forward ) 
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该 命令 用 于 创建 或 修改 一 个 VLAN 访问 映射 表 。 其 中 “映射 表 条 目 编号 "参数 用 于 
指定 在 映射 表 中 插入 条 目的 编号 。 

match ,action 命令 为 vlan access-map 命令 的 子 句 , 需 在 VLAN 访问 映射 表 模式 下 输 
入 。match 用 于 定义 哪些 IP 或 MAC 流量 需要 被 处 理 ,action 用 于 定义 符合 条 件 的 流量 
将 被 drop( 丢 掉 ) 还 是 forward( 转 发 )。 需 要 注意 的 是 ,在 访问 控制 列表 中 被 permit 的 流 
量 , 才 会 匹配 match 子 句 后 按照 action 子 句 定义 的 操作 处 理 。 

在 Cisco IOS 上 ,应 用 VLAN 访问 映射 表 的 操作 为 在 全 局 配置 模式 下 输入 : 

vlan filter VLAN 映射 表 名 vlan-list vlan 号 列表 

其 中 ,vlan 号 列表 "参数 可 以 输入 多 个 以 “," 分 隔 的 VLAN 编号 。 

注意 : 由 于 VACL 应 用 在 VLAN 中 所 有 流量 上 而 不 是 应 用 接口 或 端口 上 ,因此 只 需 
要 指定 VACL 应 用 在 哪些 VLAN 上 ,不 需要 指定 VACL 应 用 在 VLAN 哪个 方向 的 流 
量 上 。 


2. 检查 及 调试 VLAN 访问 映射 表 
在 Cisco IOS 上 ,检查 VLAN 访问 映射 表 配 置 的 操作 为 在 特权 模式 下 输入 : 


show vlan access-map [ VLAN 访问 映射 表 名 ] 


在 Cisco IOS 上 ,检查 VLAN 访问 映射 表 应 用 1VLANIT z 
情况 的 操作 为 在 特权 模式 下 输入 : 人 | 
show vlan filter [ VLAN 访问 映射 表 名 | vlan : 
VLAN 标识 J 

1 


3. VACL 配置 举例 
要 禁止 图 3-17 中 VLANT1 内 主机 对 本 网 段 的 
HTTP 访问 , 则 可 以 进行 如 下 配置 。 


Switch(config) # interface range fa0/23 - 24 0 
Switch(config-if-range) # switchport mode access 


图 3-17 VACL 举例 拓扑 示意 


Switch(config-if-range) # switchport access vlan 11 

Switch(config-if-range) # exit 

Switch(config) #ip access-list extended ipacl-http © 
Switch(config-ext-nacl) # permit tcp 200.100.8.0 0.0.0.127 200.100.8.0 0.0.0.127 eq 80 
Switch(config-ext-nacl) # exit 

Switch(config) #ip access-list standard ipacl-any © 
Switch(config-std-nacl) # permit any 

Switch(config-std-nacl) # exit 

Switch(config) # vlan access-map vam-http 10 @ 
Switch(config-access-map) # match ip address ipacl-http 

Switch(config-access-map) # action drop 

Switch(config-access-map) # exit 

Switch(config) # vlan access-map  vam-http 20 [9] 
Switch(config-access-map) # match ip address ipacl-any 
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Switch(config-access-map) # action forward 
Switch(config-access-map) # exit 
Switch(config) # vlan filter vam-http vlan-list 11 © 
Switch(config-access-map) # end 
Switch#show vlan access-map [0] 
Vlan access-map "vam-http" 10 
Match clauses: 
ip address: ipacl-http 
Action: 
drop 
Vlan access-map "vam-http" 20 
Match clauses; 
ip address: ipacl-any 
Action: 
forward 
Switch£ show vlan filter @ 
VLAN Map vm-testhttp is filtering VLANs: 
11 


其 中 : 

CD 按 拓扑 图 要 求 将 Fa0/23 和 Fa0/24 端口 配置 为 接 入 模式 ,并 将 其 加 入 VLAN11。 

© 定义 一 个 IP 扩展 访问 控制 列表 ipacl-http ,该 访问 控制 列表 中 只 有 一 个 条 目 , 即 人 允 
许 所 有 访问 网 络 200. 100. 8. 0/25 主机 HTTP 服务 端口 80 的 流量 。 

© 定义 一 个 标准 IP 访问 控制 列表 ipacl-any ,该 访问 控制 列表 中 只 有 一 个 条 目 , 即 允 
许 所 有 IP 流量 。 

(D 定义 VLAN 访问 映射 表 条 目 10 ,该 条 目 将 ipacl-http 访问 控制 列表 允许 的 流量 全 
部 丢弃 。 因 此 根据 该 VLAN 访问 映射 表 条 目 , 则 所 有 访问 网 络 200. 100. 8. 0/25 主机 
HTTP 服务 端口 80 的 流量 将 被 丢弃 。 

© 定义 VLAN 访问 映射 表 条 目 20, 该 条 目 将 ipacl-any 访问 控制 列表 允许 的 流量 全 
部 转发 。 定 义 该 条 目的 目的 是 防止 其 他 流量 被 VLAN 访问 映射 表 中 最 末 一 条 自动 添加 
的 丢弃 操作 丢弃 。 

将 VLAN 访问 映射 表 应 用 到 VLANI E. 

CD 使 用 show 命令 显示 VLAN 访问 映射 表 信息 。 输 出 信息 中 显示 了 所 有 已 定义 的 
VLAN 访问 映射 表 语 句 。 

@ 使 用 show 命令 显示 VLAN 访问 映射 表 应 用 情况 ,输出 信息 显示 该 访问 映射 表 已 
经 被 应 用 到 VLANII E. 
3.4.3 配置 PACL 

PACL 配置 中 有 关 标 准 访问 控制 列表 和 扩展 访问 控制 列表 的 定义 、 应 用 方法 与 第 2 
章 介 绍 的 常规 访问 控制 列表 相同 ,此 处 不 再 缆 述 。 

在 Cisco Catalyst 交换 机 上 配置 MAC 扩展 访问 控制 列表 的 步骤 及 命令 如 表 3-16 
所 示 。 
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表 3-16 MAC ACL 配置 步骤 


有 关 命 令 
m oS d o R 基于 MAC 地 址 的 基于 了 的 
访问 控制 列表 访问 控制 列表 
步骤 1 定义 PACL 所 需 访问 控制 列表 的 名 称 | mac access-list, ip access-list 
和 序号 ,并 配置 匹配 条 件 和 匹配 后 操作 | permit, deny permit, deny 
步骤 2 | 应 用 端口 访问 控制 列表 mac access-group ip access-group 
DRS | 检查 调试 端口 访问 控制 列表 配置 i | ARUP ance fet 
show  access-lists hardware counters 


有 关 IP 访问 控制 列表 定义 及 应 用 配置 可 参考 第 2 章 


1. 定义 并 应 用 MAC 扩展 访问 映射 表 
在 Cisco IOS 上 ,定义 MAC 扩展 访问 映射 表 的 操作 为 在 全 局 配置 模式 下 输入 : 
mac access-list extended MAC 扩展 访 问 控制 列表 名 

permit {W MAC 地址 W MAC 地 址 通配符 | any) {目标 MAC 地址 目标 MAC 地 址 通 

配 符 | any | host 源 MAC 地址; [协议 号 协议 通配符 J 

deny (W MAC 地址 W MAC 地 址 通配符 ”| any) {目标 MAC 地 址 目标 MAC 地 址 通 配 

fF | any | host 源 MAC 地 址 } [协议 号 协议 通配符 J 

其 中 ,permit、deny 为 mac access-list 命令 的 子 句 , 需 在 MAC 扩展 访问 控制 列表 模 
式 下 输入 。permit 子 句 定义 允许 哪些 流量 ,deny 子 句 用 于 定义 禁止 哪些 流量 。permit、 
deny 子 句 中 的 host 关键 字 用 于 定义 来 自 某 MAC 地 址 的 流量 ; any 关键 字 代 指 任何 地 址 
的 流量 。 

在 permit deny 子 句 中 的 “协议 号 "字段 ,用 于 定义 允许 或 禁止 哪 种 二 层 以 上 的 协议 
流量 。“ 协 议 号 通配符 ”可 以 辅助 “协议 号 "字段 过 滤 多 个 协议 。 

在 Cisco IOS 上 ,在 端口 上 应 用 MAC 扩展 访问 映射 表 的 操作 为 在 端口 配置 模式 下 
输入 : 

mac access-group MAC 扩展 访问 控制 列表 名 in 


2. 检查 及 调试 PACL 配置 

在 Cisco IOS 中 ,可 以 在 特权 用 户 模 式 下 输入 如 下 命令 检查 MAC 扩展 访问 控制 
列表 。 

show mac access-group 


该 命令 显示 所 有 端口 上 应 用 的 MAC 扩展 访问 控制 列表 情况 ,其 输出 结果 如 下 。 


C3550-0-3-1 # show mac access-group 
Interface FastEthernet0/1; 


Inbound access-list is macl-pacl-arp 


以 上 结果 表示 在 端口 FastEthernet0/1 上 应 用 了 一 个 名 为 macl-pacl-arp 的 MAC 扩 


™ 
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展 访问 控制 列表 。 
3.4.4 模拟 公司 总 部 局 域 网 交换 机 访问 控制 列表 配置 案例 

在 模拟 公司 总 部 局 域 网 的 交换 机 上 配置 访问 控制 ,满足 以 下 网 络 及 信息 安全 要 求 。 

CD 在 各 部 网 络 中 ,市 场 部 各 主机 间 不 能 直接 互 访 ,但 能 与 其 他 网 络 以 及 外 网 主机 
互 访 。 

(2) 各 部 网 络 内 前 7 个 IP 由 各 部 网 络 的 网 关 、 服 务 器 使 用 。 为 防御 蠕虫 攻击 ,禁止 
到 各 网 络 内 非 网 关 、 服 务 器 主机 的 主动 TCP 连接 请 求 和 危险 UDP 端口 的 访问 。 

(3) 为 保护 生产 部 网 络 内 各 系统 安全 ,其 他 网 络 除 能 ping 通 生 产 主机 外 ,不 能 与 生 
产 主机 直接 进行 其 他 通信 ,只 能 通过 生产 部 网 络 中 的 前 置 机 间接 获得 生产 数据 ,前 置 机 
IP 范围 是 生产 网 络 中 的 前 31 个 IP. 

(4) 限制 各 主机 接 人 网 络 的 ARP 流量 大 小 ,在 发 现 ARP 洪水 攻击 的 源 主机 后 ,使 用 
PACL 将 其 ARP 流量 过 滤 。 

注意 : 此 处 访问 控制 列表 配置 未 考虑 第 2 章 中 所 提 及 的 访问 控制 要 求 。 但 在 实际 生 
产 中 , 需 整体 考虑 网 络 访问 控制 需求 以 设计 安全 策略 模型 。 

根据 现 有 网 络 拓扑 、 网 络 设备 设备 配置 、 网 络 性 能 和 所 支持 的 交换 机 访问 控制 列表 
功能 ,可 参考 以 下 方案 分 别 配 置 各 部 网 络 所 在 汇聚 、 接 入 交换 机 ,实现 网 络 及 信息 安全 

CD 由 于 目前 三 层 交 换 机 才 支 持 V ACL ,而 网 络 中 在 汇聚 层 才 使 用 三 层 交 换 机 ,所 以 
无 法 通过 VACL 过 滤 VLAN 内 主机 间 流 量 , 因 此 只 有 在 市 场 部 网 络 所 在 接 入 交换 机 上 
配置 基于 IP 扩展 访问 控制 列表 的 PACL, 来 限制 该 部 网 络 VLAN300 内 各 主机 间 互 访 ， 
配置 如 下 。 

! 

interface | FastEthernet0/24 

switchport access vlan 40 


switchport mode access 

ip access-group eacl-pacl-40 in 

! 

ip access-list extended  eacl-pacl-40 

permit ip any 200.100.10.0 0.0.0.7 

permit tcp any 200.100.10.0 0.0.0.127 established 
deny tcp any 200.100.10.0 0.0.0.127 
deny udp any 200.100.10.0 0.0.0.127 eq  netbios-ns 
permit ip 200.100.10.0 0.0.0.7 any 
permit icmp any any 
deny ip 200.100.10.0 0.0.0.127 200.100.10.0 0.0.0.127 
permit ip any any 

! 


其 中 : 
CD 在 端口 Fa0/24 上 应 用 名 为 eacl-pacl-40 的 PACL。 所 有 进入 该 端口 的 流量 将 被 
该 PACL 过 滤 。 此 处 以 在 市 场 部 网 络 所 在 接 人 交换 机 的 接 人 端口 Fa0/24 为 例 ,演示 如 


©@968 eee o 
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何 使 用 PACL 过 滤 流 量 。 其 中 市 场 部 网 络 IP 地 址 为 200. 100. 10. 0/25, VLAN 编号 
为 40。 

加 eacl-pacl-40 PACL 定义 ,该 PACL 使 用 扩展 访问 控制 列表 因为 要 对 TCP 浏览 进 
行 过 滤 。 

© 保证 到 达 网 络 中 服务 器 和 网 关 等 前 7 个 IP 地 址 的 流量 能 正常 通过 。 

D 拒绝 向 本 网 段 主机 主动 发 起 的 TCP 连接 请 求 。 

© 拒绝 到 达 本 网 段 UDP137 端口 的 流量 通过 。 

允许 本 网 段 中 服务 器 和 网 关 等 前 7 个 IP 地 址 的 流量 。 该 访问 控制 条 目 用 于 允许 
服务 器 、 网 关 响 应 主机 的 流量 。 

(D 允许 所 有 ICMP 流量 通过 。 该 条 目 允 许 用 户 使 用 ping 命令 来 测试 网 络 连通 性 。 

@ 拒绝 本 网 络 中 主机 间 互 访 。 

© 允许 其 他 IP 流量 。 该 条 目 用 于 允许 端口 所 连接 主机 访问 其 他 网 络 。 

(2) 在 各 接 入 交换 机 上 配置 基于 IP 扩展 访问 控制 列表 的 PACL ,限制 内 网 主机 对 本 
网 段 及 总 部 其 他 网 络 内 非 服务 器 主机 主动 发 起 的 TCP 连接 请 求 和 UDP 137 端口 的 请 
求 ,模拟 公司 研发 部 接 入 交换 机 访问 控制 配置 举例 如 下 。 

! 

interface FastEthernet0/9 

switchport access vlan 300 

switchport mode access 

ip access-group eacl-pacl-30 in 

! 

ip access-list extended eacl-pacl-300 

permit ip any 200.100.9.0 0.0.0.7 

permit tcp any 200.100.9.0 0.0.0.255 established 
deny tcp any 200.100.9.0 0.0.0.255 

deny udp any 200.100.9.0 0.0.0.255 eq netbios-ns 
permit ip any any 

! 

从 研发 部 接 入 交换 机 访问 控制 配置 可 以 看 出 ,在 研发 部 网 络 所 在 接 入 交换 机 的 相应 
端口 应 用 定义 的 PACL; 与 市 场 部 的 PACL 定义 相 比 ,研发 部 网 络 不 需要 限制 网 络 内 主 
机 间 的 访问 流量 ,因此 ,其 PACL 中 可 以 省 去 禁止 本 网 络 主机 间 流 量 部 分 。 

G) 在 生产 部 所 在 汇聚 交换 机 上 配置 基于 IP 扩展 访问 控制 列表 的 VACL ,人 允许 其 他 
网 络 对 生产 部 网 络 的 ICMP 访问 和 对 前 置 机 的 IP 访问 流量 ,拒绝 对 非 前 置 机 主机 的 访问 
流量 。 

(4) 发 现 ARP 洪水 攻击 的 源 主机 后 ,在 相应 交换 机 上 配置 PACL 过 滤 该 MAC 地 址 
的 ARP 流量 ,配置 如 下 


! 

vlan access-map vam-60 10 © 
action forward 

match ip address eacl-vacl-60 

vlan access-map vam-60 20 © 


^k 
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action drop 
match ip address sacl-vacl-60 
vlan filter vam-60 vlanrlist 60 
! 
ip access-list standard  sacl-vacl-60 
permit any 
! 
ip access-list extended  eacl-vacl-60 © 
permit icmp any any 
permit ip any 200.100.11.0 0.0.0.31 
permit ip 200.100.11.0 0.0.0.31 any 
permit ip 200.100.11.0 0.0.0.255 200.100.11.0 0.0.0.255 
! 


其 中 : 

(D 定义 VLAN 访问 映射 表 vam-60 KA 10。 该 条 目 将 转发 匹配 eacl-vacl-60 的 流 
量 , 即 转发 所 有 VLAN600 中 的 ICMP 流量 、VLAN600 中 的 访问 前 置 机 以 及 前 置 机 返回 
的 流量 、VLAN600 网 络 中 主机 互 访 的 流量 。 

© 定义 VLAN 访问 映射 表 vam-60 AA 20。 该 条 目 将 丢弃 匹配 sacl-vacl-60 的 流 
量 , 即 丢弃 来 自 所 有 主机 的 流量 。 

© 在 VLAN600 上 应 用 VLAN 访问 映射 表 。 

@ 定义 IP 标准 访问 控制 列表 ,允许 来 自 所 有 主机 的 流量 。 

© 定义 IP 扩展 访问 控制 列表 ,允许 所 有 ICMP 流量 ,访问 VLAN600 中 前 置 机 的 流 
HEAL VLANGOO 中 返回 的 流量 ,以 及 VLAN600 中 主机 互 访 的 流量 。 

利用 MAC 访问 控制 列表 禁止 ARP 流量 配置 举例 如 下 。 


! 

mac access-list extended macl-pacl-arp 

deny host 0015.5886.bcec any 0x806 0x0 
! 

interface FastEthernet0/24 

switchport access vlan 300 


switchport mode access 
此 处 省 略 .… 


mac access-group macl-pacl-arp in 


其 中 : 

。 定义 名 为 macl-pacl-arp 的 MAC 扩展 访问 控制 列表 。 该 例子 显示 如 何在 发 现 有 
大 量 来 自 0015. 5886. bcec 的 ARP 攻击 流量 时 ,通过 MAC 访问 控制 来 限制 流量 。 

。 该 MAC 扩展 访问 控制 列表 禁止 来 自 MAC 地 址 0015. 5886. bcec, 类 型 为 0x806， 
类 型 通配符 为 0 的 流量 , 即 ARP 流量 。 

。 在 该 流量 来 源 端口 上 应 用 名 为 macl-pacl-arp 的 MAC 扩展 访问 控制 列表 ,拒绝 从 
来 自 0015. 5886. bcec 的 流量 从 该 端口 进入 交换 机 。 
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3.5 端口 安全 技术 


3.5.1 端口 安全 技术 简介 

1. 端口 安全 技术 产生 的 原因 

防御 局 域 网 中 MAC 地 址 泛 洪 和 MAC 地 址 欺骗 攻击 是 端口 安全 技术 产生 的 主要 原因 。 

(D MAC 地 址 泛 洪 攻击 

交换 机 一 般 会 根据 自己 的 MAC 地 址 表 转 发 数据 帧 ,但 如 果 在 该 表 中 找 不 到 待 转发 
数据 帧 的 目的 MAC 地 址 ,交换 机 就 会 将 该 数据 帧 在 同一 个 网 络 中 的 所 有 端口 上 进行 泛 
it, "MAC 地 址 泛 洪 攻击 ” 正 是 利用 交换 机 这 一 工作 原理 而 进行 的 。 

交换 机 使 用 源 地 址 学 习 方 式 来 构建 MAC 地 址 表 , 但 任何 交换 机 的 MAC 地 址 表 
空间 都 是 有 限 的 ,所 以 只 要 局 域 网 中 的 恶意 用 户 持续 向 交换 机 发 送 大 量 带 有 无 效 源 
MAC 地 址 的 数据 帧 ,就 会 导致 交换 机 MAC 地 址 表 空 间 的 溢出 。 当 交换 机 MAC 地 
址 表 空 间 被 大 量 无 效 MAC 地 址 占 满 时 ,合法 主机 的 MAC 地 址 信息 将 再 也 无 法 加 入 
到 MAC 地 址 表 中 。 交 换 机 不 得 不 像 一 台 集 线 器 一 样 ,将 合法 主机 的 流量 泛 洪 到 所 
有 端口 上 ,而 恶意 用 户 也 就 可 以 在 其 连接 的 交换 机 端口 上 ,轻松 截取 网 络 中 的 所 有 
数据 流量 。 

(2) MAC 地 址 欺骗 攻击 

恶意 用 户 监听 网 络 上 的 数据 流量 ,并 从 中 获得 网 络 上 合法 主机 的 MAC 地 址 。 然 
后 使 用 MAC 地 址 更 改 工 具 将 自己 的 MAC 地 址 伪装 成 网 络 上 合法 主机 的 MAC 地 址 
发 送 数 据 , 以 欺骗 交换 机 学 习 到 错误 的 MAC 地 址 条 目 , 这 种 攻击 方式 称 为 MAC 地 址 
欺骗 攻击 。MAC 地 址 欺骗 攻击 示意 如 图 3-18 所 示 。MAC 地 址 欺骗 攻击 常 被 恶意 用 
户 在 进行 中 间 人 攻击 时 使 用 ,目的 是 欺骗 交换 机 将 发 往 被 攻击 者 的 数据 流量 转发 给 
D; 有 些 恶 意 用 户 也 使 用 MAC 地 址 欺骗 来 假冒 已 被 授权 的 主机 获得 访问 网 络 资源 的 
权力 。 


SW 
Fa0/24 47 Fa0/22 


Fa0/23 


XXIMACal 数 据 


O O 伪造 源 地 址 帧 MAC 端口 
= i MACb | Fa0/23 
PCa PCb PCc MACa | F38(24 4m Fa0/22 
MACa — MACb MACe = 


合法 主机 恶意 用 户 
图 3-18 MAC 地 址 欺骗 攻击 示意 图 
2. 端口 安全 技术 的 主要 内 容 


端口 安全 是 一 种 基于 MAC 地 址 进行 的 二 层 安全 技术 ,其 工作 原理 是 在 交换 机 端 
口上 允许 或 禁止 来 自 某 些 MAC 地 址 的 流量 进入 。 在 一 个 安全 端口 已 经 分 配 了 安全 
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MAC 地 址 的 情况 下 ,所 接收 流量 中 的 源 地 址 如 果 与 端口 已 定义 安全 MAC 地 址 不 符 ， 
则 都 会 被 拒绝 进入 交换 机 。 以 Catalyst 交换 机 为 例 , 其 端口 安全 技术 主要 包括 以 下 3 
个 方面 。 

(D MAC 允许 

MAC 允许 技术 可 以 在 交换 机 单个 端口 只 允许 来 自 某 些 MAC 地 址 的 数据 流量 通过 ， 
使 用 这 种 技术 能 保证 单个 端口 的 MAC 地 址 条 目 不 会 占 满 整个 MAC 地 址 表 空间 ,从 而 
帮助 交换 机 来 抵御 MAC 地 址 泛 洪 攻击 。 同 时 由 于 启用 端口 安全 特性 的 交换 机 不 允许 
MAC 地 址 表 中 出 现 不 同 端口 对 应 同一 个 安全 MAC 地 址 的 情况 ,所 以 这 种 技术 手段 也 能 
帮助 交换 机 抵御 MAC 地 址 欺骗 攻击 。 

(2) 单 播 MAC 过 滤 

单 播 MAC 过 滤 是 一 种 在 特定 VLAN 上 过 滤 掉 指定 源 MAC 地 址 流量 的 技术 。 由 于 
只 能 对 单 播 流量 进行 ,所 以 被 称 为 单 播 过 滤 。 使 用 该 技术 可 以 过 滤 掉 那些 确定 不 会 在 某 
个 VLAN 出 现 的 MAC 地 址 ,减少 恶意 用 户 攻击 网 络 的 机 会 。 

(3) 阻塞 单 播 , 多 播 泛 洪 

这 种 端口 安全 技术 可 以 配置 在 交换 机 单个 端口 上 阻塞 未 知 单 播 地 址 或 多 播 地址 的 泛 
洪 ,防止 未 知 单 播 , 多 播 地 址 泛 洪 对 安全 端口 的 影响 。 


3. MAC 允许 技术 实施 技术 细节 

使 用 该 技术 手段 需要 了 解 两 方面 技术 细节 , 即 如 何 定 义 交 换 机 端口 的 安全 MAC 地 
址 和 如 何 处 理 安全 端口 上 发 生 的 违背 (Violation) 安 全 规则 行为 (简称 违规 行为 ) 。 

(1) 定义 交换 机 端口 安全 MAC 地 址 的 方式 

可 以 使 用 以 下 3 种 方式 在 交换 机 端口 上 定义 安全 MAC 地 址 。 

CD 手工 配置 端口 对 应 的 静态 MAC 地 址 。 该 地 址 将 被 储存 在 MAC 地 址 表 和 配置 
中 ,交换 机 掉 电 后 也 不 会 丢失 。 

@ 配置 交换 机 端口 能 够 学 习 的 MAC 地 址 数目 。 在 这 种 方式 下 ,交换 机 动态 学 习 有 
限 数 目的 安全 MAC 地 址 ,这 些 MAC 地 址 条 目 将 一 直 保 存在 MAC 地 址 表 中 ,但 不 会 保 
持 在 交换 机 配置 文件 中 ,因此 掉 电 或 重 载 后 会 被 清除 。 

O 配置 交换 机 粘性 获得 安全 MAC 地 址 。 在 这 种 方式 下 ,可 以 手工 配置 或 者 让 交换 
机 动态 学 习 安 全 MAC 地 址 ,但 学 习 到 的 安全 MAC 地 址 将 被 存储 在 配置 文件 中 ,交换 机 
重新 加 载 或 断 电 时 不 会 丢失 。 这 种 方式 结合 了 以 上 两 种 方式 的 特性 ,可 以 解决 在 大 型 网 
络 中 手工 配置 安全 MAC 地 址 过 于 费时 ,而 动态 学 习 安 全 MAC 地 址 又 不 能 保证 交换 机 
掉 电 后 重新 学 到 的 MAC 地 址 来 自 合 法 主机 的 问题 。 

交换 机 默认 不 会 清除 MAC 地 址 表 中 的 安全 MAC 地 址 条 目 , 直 到 掉 电 或 重 载 。 
但 可 以 为 端口 配置 老化 机 制 ,让 交换 机 在 一 定时 间 后 自动 清除 端口 上 的 安全 MAC 
条 目 。 

。 绝对 状态 机 制 : 端口 上 的 安全 地 址 会 在 指定 时 间 后 被 清除 ,这 是 Catalyst 交换 机 

默认 使 用 的 老化 机 制 。 
。 休止 状态 机 制 : 端口 上 的 安全 地 址 会 在 指定 的 闲置 时 间 后 被 清除 。 


第 3 章 局 域 网 安全 


(2) 违背 安全 规则 行为 的 处 理 方式 

出 现 以 下 两 种 情况 之 一 , 则 交换 机 将 视 为 发 生 违规 行为 。 

CD 交换 机 端口 上 收 到 与 已 定义 安全 MAC 地 址 不 符 的 源 MAC 地 址 数据 流量 。 

Q) 交换 机 端口 动态 学 习 安 全 MAC 地 址 过 程 中 收 到 与 另 一 端口 已 定义 为 安全 MAC 
地 址 相同 的 源 MAC 地 址 流量 。 

交换 机 处 理 违背 安全 规则 行为 的 模式 有 以 下 3 种 。 

D 保护 模式 (protect)。 端 口 使 用 该 种 模式 ,交换 机 将 丢弃 所 有 未 知 源 MAC 地 址 的 
单 播 或 组 播 流量 ,并 且 不 会 发 出 任何 通知 。 

@ 限制 模式 (restrict)。 对 于 动态 学 习 安 全 MAC 地 址 的 端口 ,如 果 使 用 该 种 模式 ， 
交换 机 会 在 安全 MAC 地 址 条 目 数 达 到 了 设置 限度 时 ,丢弃 未 知 源 MAC 地 址 的 流量 ,发 
出 违规 通知 ,并 发 出 一 个 SNMP 陷阱 记录 一 个 日 志 消息 , 且 违 规 行为 计数 器 递增 。 这 种 
状态 将 一 直 持 续 到 安全 MAC 地 址 数量 低 于 设置 限度 才 可 以 解除 。 

© 关闭 模式 (shutdown) 。 使 用 该 种 模式 的 端口 ,会 在 发 生 违规 行为 后 处 于 错误 禁用 
Cerr-disable) 状 态 ,端口 LED 关闭 ,并 发 出 一 个 SNMP 陷阱 记录 一 个 日 志 消 息 , 且 违规 计 
数 器 递增 。 这 是 安全 端口 默认 的 违规 行为 模式 。 端 口 一 旦 处 于 错误 禁用 状态 ,将 一 直 持 
续 到 交换 机 掉 电 重启 ,或 者 由 网 管 员 手工 解除 这 种 状态 才能 恢复 。 

4. 单 播 .多 播 泛 洪 阻塞 实施 技术 细节 

对 于 配置 了 端口 安全 的 交换 机 端口 而 言 , 当 这 些 端 口 在 MAC 地 址 表 中 已 有 对 应 安 
全 MAC 地 址 条 目 时 ,向 这 些 端口 的 泛 洪 就 是 不 必要 的 。 网 络 末梢 上 不 必要 的 MAC IE 
洪 如 图 3-19 Bros ,图 中 所 有 PC 都 会 丢弃 交换 机 发 出 的 MAC 泛 洪 ,而 交换 机 此 时 发 出 的 
泛 洪 会 让 同一 个 VLAN 中 的 所 有 设备 都 承担 不 必要 的 流量 。 因 此 作为 MAC 允许 等 端 
口 安全 技术 的 一 个 必要 辅助 技术 ,在 已 定义 了 安全 MAC 地 址 的 安全 端口 上 配置 单 播 、 多 
播 阻 塞 , 会 有 效 降低 不 必要 泛 洪 对 主机 工作 效率 的 影响 。 
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图 3-19 网 络 末梢 上 不 必要 的 MAC 泛 洪 


3.5.2 交换 机 端口 安全 配置 方法 

1. 启用 端口 安全 以 及 配置 MAC 允许 

在 Catalyst 交换 机 上 配置 允许 源 MAC 地 址 流量 端口 安全 的 步骤 及 相应 命令 如 表 3-17 
所 示 。 
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Pd 表 3-17 人 允许 源 MAC 地 址 流量 端口 安全 的 配置 步骤 及 命令 
序号 E E 有 关 命 令 是 否 必 须 


switchport mode access 
步骤 1 | 在 端口 启用 端口 安全 特性 switchpect porksecarity 是 


配置 交换 机 静态 安全 MAC 地 址 |switehport port-security mac-address 


步骤 2 | 或 者 动态 学 习 的 安全 MAC 地 址 |switchport port-security maximum 任 选 一 个 
数量 限度 switchport port-security mac-address sticky 
8 switchport  port-security violation 
步骤 3 措 定 交 的 机构 吕 的 安全 十 规 行 为 errdisable recovery cause  psecure-violation| 可 选 
模式 及 相应 参数 : 
errdisable recovery interval 
配置 交换 机 端口 安全 MAC 地 址 | 
DI 4 老化 参数 switchport port-security aging 可 选 


CD 在 端口 启用 端口 安全 特性 
在 Cisco IOS 中 ,在 端口 启用 端口 安全 特性 的 命令 为 在 端口 配置 模式 下 输入 : 


switchport  port-security 


注意 : Catalyst 交换 机 端口 的 默认 工作 模式 为 auto, 当 端口 处 于 自动 协商 模式 时 , 启 
用 端口 安全 特性 会 报错 Command rejected: FastEthernet0/24 is a dynamic port. ,因此 一 
定 要 在 启用 端口 安全 特性 前 使 用 switchport mode access 命令 明确 指定 端口 模式 为 接 
入 (access) 模 式 ,trunk 模式 的 端口 不 能 配置 端口 安全 特性 。 

(2) 配置 交换 机 静态 安全 MAC 地 址 或 者 动态 学 习 安全 MAC 地 址 最 大 数目 

在 Cisco IOS 中 ,手工 配置 端口 静态 安全 MAC 地 址 的 命令 为 在 端口 配置 模式 下 输入 : 


switchport port-security mac-address | 安全 MAC 地 址 } 
在 Cisco IOS 中 ,配置 动态 学 习 安 全 MAC 地 址 的 命令 为 在 端口 配置 模式 下 输入 : 
switchport port-security maximum (安全 MAC 地 址 条 目 最 大 数 } 


其 中 ,参数 “安全 MAC 地 址 条 目 最 大 数 ” 默 认为 1。 
在 Cisco IOS 中 ,配置 粘性 安全 MAC 地 址 的 命令 为 在 端口 配置 模式 下 输入 : 


switchport port-security mac-address sticky 


在 配置 动态 学 习 安 全 MAC 地 址 的 最 大 地 址 条 目 数 时 ,需要 根据 企业 信息 点 数量 和 交 
换 机 MAC 地 址 空间 情况 进行 合理 规划 。 例 如 ,可 将 所 有 主机 接 人 端口 的 安全 MAC 地 址 条 
目 最 大 数 设置 为 1, 并 将 剩余 安全 MAC 地 址 条 目 空间 按 需 分 配给 下 联 其 他 交换 机 的 端口 。 

例如 ,对 图 3-20 所 示 网 络 中 交换 机 配置 端口 安全 ,交换 机 Switchl 和 交换 机 Switch2 
处 于 同一 个 网 络 中 ; 交换 机 Switch2 为 接 人 交换 机 ,连接 一 个 办 公 网 络 ,上 且 所 接 和 人 主机 不 
固定 ,但 不 允许 再 有 其 他 网 络 设备 接 和 人 该 交换 机 ; 交换 机 Switch] 端口 Fa0/24 下 联 交 换 
机 Switch2 ,其 端口 Fa0/22 固定 连接 主机 PCc。 

根据 以 上 条 件 不 难看 出 .交换 机 Switch? 所 有 主机 接 人 端口 上 可 以 配置 动态 获得 安全 
MAC 地 址 , 且 动 态 获得 安全 MAC 地 址 的 最 大 数目 为 1; 由 于 接 入 交换 机 Switch2 的 主机 最 
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图 3-20 端口 安全 示例 拓扑 


终 都 要 接 入 交换 机 Switch] 的 下 联 端口 Fa0/24, 所 以 若 要 为 Fa0/24 端口 配置 动态 安全 
MAC 地 址 , 则 需要 更 大 的 安全 MAC 地 址 条 目 数 ,例如 48 个 。 同 时 交换 机 Switchl 的 
Fa0/22 端口 需要 静态 指定 安全 MAC 地 址 ,或 者 使 用 粘性 方式 获得 安全 MAC 地 址 。 

(3) 指定 交换 机 端口 的 安全 违规 行为 模式 及 相应 参数 

在 Cisco IOS 中 ,手工 配置 端口 安全 违规 行为 模式 的 命令 为 在 端口 模式 下 输入 ; 


switchport port-security violation { protect | restrict | shutdown } 


其 中 , protect, restrict, shutdown Jill Jg * f£ d", " Et di", “KA” 3. 种 违规 模式 ， 
shutdown 为 默认 安全 违规 模式 。 

选择 哪 种 违规 模式 取决 于 端口 性 质 ,如 果 端 口 接 入 的 是 服务 器 , 则 应 选择 “限制 ” 模 
式 , 以 保护 网 络 服 务 不 受 违规 行为 的 影响 ; 如 果 端 口 接 入 的 是 普通 主机 , 则 应 选择 “关闭 ” 
模式 ,并 指定 相应 的 err-disable 计时 器 ,这 样 可 以 在 发 生 违规 行为 时 ,不 需要 网 管 员 手 工 
干预 就 可 以 重新 建立 连接 。 

err-disable 计时 器 是 一 个 全 局 选项 ,对 于 任何 配置 为 关闭 模式 的 端口 有 效 。 在 Cisco 
IOS 中 ,配置 err-disable 计时 器 的 命令 为 在 全 局 配置 模式 下 输入 : 


errdisable recovery cause  psecure-violation 

errdisable recovery interval ( 违规 后 端口 关闭 秒 数 } 

第 一 行为 打开 端口 安全 关闭 模式 的 err-disable 计时 器 。 

第 二 行为 配置 端口 发 生 违规 行为 后 多 久 可 以 重新 启用 。 单 位 为 秒 ,数值 范围 为 30 一 
86400 ,默认 值 为 300 。 

以 图 3-20 为 例 ,交换 机 Switch] 上 有 关 的 端口 安全 配置 如 下 。 


errdisable recovery cause psecure-violation 0 
errdisable recovery interval 400 © 
! 

interface FastEthernet0/22 

switchport mode access © 
switchport port-security [2] 
switchport port-security violation restrict [9] 


C 计算 机 网 络 安全 与 管理 
switchport port-security mac-address 0015. 5886. bcec © 


! 

interface FastEthernet0/24 

switchport mode access 

switchport  port-security 

switchport port-security maximum 48 [9] 
! 

其 中 : 

(D 打开 errdisable 计时 器 。 

@ errdisable 计时 器 间隔 配置 为 400 秒 。 

@ 配置 端口 模式 为 接 入 模式 。 

@ 启用 端口 安全 特性 。 

C) 配置 违规 行为 模式 为 限制 模式 。 

© 配置 端口 静态 安全 MAC 地 址 为 0015. 5886. bcec。 

(D 配置 Fa0/24 端口 动态 安全 MAC 地 址 条 目 最 大 数 为 48 个 。 

注意 使 用 默认 关闭 模式 作为 违规 行为 模式 ,所 以 配置 文件 中 未 显示 违规 行为 配置 。 
以 图 3-20 Jg ffl ,交换 机 “Switch2” 上 有 关 的 端口 安全 配置 如 下 。 


errdisable recovery cause psecure-violation [0] 


interface FastEthernet0/23 

switchport mode access 

switchport port-security 

switchport port-security mac-address sticky Q 
! 

interface  FastEthernet0/24 

switchport mode access 

switchport port-security 


! [9] 

其 中 : 

CD 打开 errdisable 计时 器 。 注 意 这 里 使 用 默认 300 秒 作为 errdisable 计时 器 间隔 ,所 
以 在 配置 文件 中 不 会 显示 errdisable 计时 器 间隔 配置 命令 。 

Q) 端口 Fa0/23 被 配置 为 使 用 粘性 。 

O 动态 获得 安全 MAC 地 址 , 且 最 大 数 为 1 ,违规 行为 模式 是 关闭 模式 ,这 些 配 置 是 
端口 安全 MAC 地 址 的 默认 配置 ,所 以 配置 文件 中 不 会 显示 这 些 配 置 命 令 。 

(4) 配置 交换 机 端口 安全 MAC 地 址 老化 参数 

在 Cisco IOS 中 ,配置 交换 机 端口 安全 MAC 地 址 老化 参数 的 命令 分 别 为 在 端口 模式 
下 输入 : 

switchport port-security aging static 


switchport port-security aging time { 老化 时 间 ) 
switchport port-security aging type { absolute | inactivity } 


eoo 
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命令 说 明 如 下 。 

D 该 命令 用 于 启用 对 静态 安全 MAC 地 址 的 老化 。 

O 该 命令 用 于 设置 老化 时 间 ,单位 为 分 钟 ,范围 为 1 一 1440。 当 老化 机 制 类 型 设置 为 
绝对 老化 机 制 时 ,该 时 间 为 端口 获得 安全 MAC 地 址 开始 算 起 到 达 被 清除 的 时 间 ,而 如 果 
老化 机 制 类 型 设置 为 休止 状态 机 制 , 则 该 时 间 为 从 端口 上 一 次 接收 到 某 安全 MAC 地 址 
数据 流量 算 起 。 

@ 该 命令 用 于 设置 老化 机 制 类 型 ,关键 字 absolute 为 绝对 老化 机 制 ,关键 字 inactivity 


2. 配置 单 播 MAC 过 滤 和 阻塞 单 播 , 多 播 泛 洪 

(1) 配置 单 播 MAC 过 滤 

虽然 本 书 将 单 播 过 滤 放 在 端口 安全 部 分 介绍 ,但 在 Catalyst 交换 机 上 , 单 播 过 滤 的 配置 
却 是 基于 VLAN 进行 的 。 在 Cisco IOS 中 ,配置 单 播 过 滤 的 命令 为 在 全 局 配置 模式 下 输入 : 


mac-address-table static (被 过 滤 的 源 MAC 地 址 ) vlan {VLAN 号 ) drop 


例如 ,一 般 正常 网 络 流量 的 源 MAC 地 址 不 会 为 0000. 0000. 0000, 所 以 可 在 网 络 中 过 
滤 来 自 该 MAC 地 址 的 流量 。 对 于 一 个 只 有 VLANI 的 Catalyst 接 入 交换 机 而 言 ,相应 
的 配置 命令 为 : 

mac-address-table static 0000. 0000.0000 vlan 1 drop 


(2) 配置 阻塞 单 播 . 多 播 泛 洪 
在 Cisco IOS 中 ,阻塞 单 播 ` 多 播 泛 洪 的 命令 为 在 端口 配置 模式 下 输入 : 


switchport block { multicast | unicast } 
其 中 ,使 用 multicast 关键 字 即 为 阻塞 多 播 ,使 用 unicast 即 为 阻塞 单 播 。 


3. 检查 .调试 端口 安全 配置 

完成 端口 安全 的 配置 后 需 检查 和 调试 配置 ,或 在 网 络 运 行 中 发 现 可 能 由 端口 安全 配 
置 导 致 的 故障 时 ,在 Cisco TOS 中 ,可 以 使 用 相应 命令 对 端口 安全 配置 进行 调试 和 检查 。 

(1) 端口 安全 配置 调试 

在 Cisco IOS 中 ,在 特权 模式 输入 以 下 命令 来 打开 端口 安全 调试 功能 。 


debug  port-security 


仍 以 图 3-20 中 交换 机 Switch2 为 例 , 打 开 其 端口 调试 功能 ,并 在 其 Fa0/24 端口 接 人 
另 一 交换 机 Switch3 ,同时 Switch3 上 接 有 两 台 计 算 机 PCd、PCe, 此 时 在 交换 机 Switch2 
上 使 用 debug port-security 命令 输出 如 下 。 


00:53:18: PSECURE: psecure vp list fwdchange invoked 

00:53:20: PSECURE: Read:0, Write:1 

00:53:20: PSECURE: swidb = FastEthernet0/24 mac addr = 0015. 5886. bcec vlanid = 1 
00:53:20: PSECURE: Adding 0015. 5886. bcec as dynamic on port Fa0/24 for vlan 1 
00:53:20; PSECURE: Adding address vlan 1 0015. 5886. bcec to port-security 
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00:53:20: PSECURE: Adding addresses to port-security sub block 


00:58:15: PSECURE: Read:1，Write:2 

00:58:15; PSECURE: swidb = FastEthernet0/24 mac addr = 0015. 58d3. 0d5b vlanid = 1 
00:58:15; PSECURE: Adding 0015. 58d3. 0d5b as dynamic on port Fa0/24 for vlan 1 

00:58:15; PSECURE: Violation/duplicate detected upon receiving 0015. 58d3. 0d5b on vlan 1; 
port num addrs 1 port max addrs 1 vlan addr ct 1; vlan addr max 1 total addrs 0; max total | 
addrs 8192 

00:58; 15; PSECURE: psecure add _ addr check; Security violation occurred, bring down 
the interface 

00:58:15: Y&PM-4-ERR DISABLE: psecure-violation error detected on Fa0/24, putting Fa0/24 in 
err-disable state 

00:58:15; PSECURE: psecure vp fwdchange invoked 

00:58: 15: PSECURE: psecure. vp linkdown port Fa0/24. vlan 1, oper mode access, sb 
mode access 


00:58:15; PSECURE: Clearing HA table for 1 

00:58:15; PSECURE: psecure clear ha table: called 

00:58:15; PSECURE: psecure clear ha table; delete 0015. 5886. bcec vlan 1 

00:58:15; PSECURE: psecure linkchange: Fa0/24  hwidb—0x181D068 

00:58:15; PSECURE: Link is going down 

00:58:15: PSECURE: psecure linkdown init: Fa0/24 hwidb = 0x181D068 

00:58:15; PSECURE: psecure deactivate port security: Deactivating port-security feature 
00:58:15; PSECURE: port deactivate: port status is 0 

00:58:15; PSECURE: psecure clear ha table: called 


00:58:15: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused 
by MAC address 0015. 58d3. 0d5b on port FastEthernet0/24. 

00:58:15; PSECURE: Security violation, TrapCount;1 

00:58:15; PSECURE: psecure vp notfwd msg handler invoked 

00:58:16; % LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed 
state to down 

00:58:16: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlanl. changed state to down 
00:58:17: %LINK-3-UPDOWN: Interface FastEthernet0/24, changed state to down 


01:06:50: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable 
state on Fa0/24 


01:06:52; PSECURE: psecure linkchange: Fa0/24 hwidb=0x181D068 

01:06:52; PSECURE: Link is coming up 

01:06:52; PSECURE: psecure linkup init; Fa0/24 hwidb = 0x181D068 

01:06:52; PSECURE: psecure vp linkup port Fa0/24, vlan 1, mode access 
01:06:52: PSECURE: psecure vp linkup Populating addresses for vlan 1 

01:06:52: PSECURE: psecure activate port security: Activating port-security feature 
01:06:52: PSECURE: port activate: status is 1 


01:06:52: PSECURE: psecure clear ha table: called 

01:06:52: PSECURE: psecure activate port security: Deleting all dynamic addresses from h/w 
tables. 

01:06:52; PSECURE: psecure platform delete all addrs: deleting all addresses on vlan 1 
01:06:54: %LINK-3-UPDOWN: Interface FastEthernet0/24, changed state to up 

01:06:55: % LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed 
state to up 
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其 中 : 

Adding 0015. 5886. bcec as dynamic on port Fa0/24 for vlan 1 表示 在 Switch3 的 
PCd 上 ping PCa, 此 时 PCd 的 MAC 地 址 0015. 5886. bcec 被 Switch2 学 习 到 。 

swidb = FastEthernet0/24 mac addr = 0015. 58d3. 0d5b vlanid = 1 表示 在 Switch3 的 
PCe 上 ping PCa, 此 时 带 有 PCd il MAC 地 址 0015. 58d3. 0d5b 的 帧 被 Switch2 接收 。 

psecure-violation error detected on Fa0/24. putting Fa0/24 in err-disable state 表示 由 于 
Switch2 Fa0/24 端口 安全 配置 只 允许 1 个 安全 MAC, 所 以 该 端口 被 置 于 err-disable 状态 。 

Line protocol on Interface FastEthernet0/24. changed state to down 表示 由 于 
Switch2 Fa0/24 端口 安全 配置 使 用 默认 的 违规 行为 模式 , 即 关闭 模式 ,所 以 Fa0/24 端口 
将 被 shutdown。 

Attempting to recover from psecure-violation err-disable state on Fa0/24 表示 由 于 
Switch2 上 启用 了 默认 errdisable 计时 器 ,所 以 经 一 段 时 间 后 ,Fa0/24 端口 的 err-disable 
状态 被 自动 清除 。 

Line protocol on Interface FastEthernet0/24, changed state to up 表示 Fa0/24 端口 
被 重新 启用 。 

(2) 检查 端口 安全 MAC 地 址 表 

在 Cisco IOS 中 ,可 以 在 特权 模式 下 输入 以 下 命令 来 检查 端口 安全 配置 情况 。 


show  port-security { address [ vlan ] | interface { 端口 ID ) ) 


其 中 ,address 关键 字 用 于 查看 安全 MAC 地 址 表 内 容 , 以 图 3-20 中 交换 机 Switch2 
为 例 ,使 用 show —port-security address 命令 输出 信息 如 下 。 


Secure Mac Address Table 


Vlan Mac Address Type Ports Remaining Age 0 
(mins) 
1 0015. 5886. bcec SecureDynamic Fa0/24 <1 
Total Addresses in System (excluding one mac per port) :0 
Max Addresses limit in System (excluding one mac per port) : 8192 @ 
以 上 各 行 操作 含义 如 下 。 


QD 显示 端口 安全 地 址 信息 命令 的 信息 内 容 包 括 5 项 内 容 , 即 Vlan( 安 全 MAC 地 址 
所 属 VLAN) „Mac Address( 安 全 MAC 地 址 )、Type( 安 全 MAC 地 址 类 型 )、Ports( 该 安 
全 MAC 地 址 来 源 端口 ) .Remaining Age( 该 安全 MAC 地 址 的 剩余 老化 时 间 ) 。 

© HNA 1 条 安全 MAC 地 址 信息 。 该 安全 MAC 地 址 属于 VLAN1, 地 址 为 
0015. 5886. bcec, 该 安全 MAC 地 址 是 动态 学 习 获 得 的 安全 MAC 地 址 ,来 源 端 口 是 Fa0/24, 
该 安全 MAC 地 址 设置 了 老化 机 制 ,剩余 时 间 小 于 1 分 钟 。 

© 目前 系统 中 所 有 安全 MAC 地 址 数量 , 除 每 个 端口 1 个 安全 MAC 地 址 ,总 数 为 0。 

@ 目前 系统 中 安全 MAC 地 址 数 限制 , 除 每 个 端口 1 个 安全 MAC 地 址 ,最 大 数 
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为 8192。 
以 图 3-20 中 交换 机 Switch2 为 例 , 使 用 show — port-security interface 命令 输出 信 
息 及 解释 如 下 。 


Port Security : Enabled ® 
Port Status : Secure-up Qo 
Violation Mode : Shutdown o 
Aging Time : 1 mins [2] 
Aging Type : Absolute © 
SecureStatic Address Aging : Disabled © 
Maximum MAC Addresses :1 [9] 
Total MAC Addresses mi [3] 
Configured MAC Addresses :0 9 
Sticky MAC Addresses :0 0 
Last Source Address: Vlan — : 0015. 5886. bcec:1 0 
Security Violation Count :0 q 
其 中 : 


CD 该 端口 是 否 启用 了 端口 安全 ,Enabled 表示 已 经 启用 。 

© 该 端口 目前 状态 ,Secure-up 表示 该 端口 为 安全 端口 , 且 处 于 可 用 状态 。 

© 该 端口 的 违规 模式 配置 ,Shutdown 表示 为 关闭 模式 。 

@ 该 端口 的 老化 时 间 ,0 mins 表示 目前 没有 配置 老化 时 间 。 

© 该 端口 的 老化 机 制 类 型 ,Absolute 表示 目前 使 用 绝对 老化 机 制 。 

© 该 端口 是 否 启 用 了 老化 机 制 ,Disabled 表示 目前 没有 启用 老化 机 制 。 

CD 该 端口 配置 的 安全 MAC 地 址 最 大 数目 ,目前 值 为 1, 表示 最 多 只 能 有 1 个 安全 
MAC 地 址 。 

@ 该 端口 已 有 安全 MAC 地 址 数 ,目前 值 为 1, 表 示 目 前 只 有 安全 MAC 地 址 。 

O 该 端口 静态 配置 的 安全 MAC 地 址 数 ,目前 值 为 0, 表示 目前 没有 配置 静态 安全 
MAC 地 址 。 

D 该 端口 使 用 粘性 方式 获得 安全 MAC 地 址 数 ,目前 值 为 0, 表 示 还 没有 使 用 该 方法 
获得 的 安全 MAC 地 址 。 

D 该 端口 上 一 次 获得 的 源 MAC 地 址 及 所 属 VLAN ,目前 值 为 0015. 5886. bcec:1。 

D 该 端口 违规 行为 计数 器 ,目前 值 为 0, 表示 该 端口 还 未 发 生 过 安全 违规 行为 。 
3.5.3 ”模拟 公司 总 部 局 域 网 端口 安全 配置 案例 

根据 模拟 公司 总 部 局 域 网 安全 任务 要 求 , 可 为 模拟 公司 总 部 局 域 网 内 交换 机 设计 如 


下 端口 安全 配置 方案 。 
(1) 各 接 入 交换 机 “C2960-0- 楼 号 -设备 号 "端口 安全 特性 配置 如 下 , 表 3-18 为 配置 
列表 。 


接 入 交换 机 物理 位 置 分 散 , 直 接连 接 用 户主 机 ,最 易 受到 MAC 地 址 欺骗 、. 泛 洪 攻击 ， 
因此 在 各 接 入 交换 机 的 接 入 端口 上 均 启用 端口 安全 特性 。 
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53-18 模拟 公司 总 部 局 域 网 接 入 交换 机 端口 安全 配置 列表 


网 络 行政 管理 部 研发 部 网 络 中 心 市 场 .售后 部 生产 部 
端口 类 型 接 人 

是 否 安全 端口 是 

地 址 学 习 方 式 粘性 动态 粘性 动态 粘性 
MAC 数目 限制 1 

违规 模式 restrict shutdown restrict shutdown restrict 
启用 err-disable 计时 否 是 否 是 E 
err-disable 间隔 / 秒 300 300 

老化 机 制 启用 启用 

老化 类 型 休止 休止 

老化 时 间 / 分 钟 3 3 

单 播 MAC 过 滤 0000. 0000. 0000 | 0000. 0000. 0000 | 0000. 0000. 0000 | 0000. 0000. 0000 |0000. 0000. 0000 
阻塞 单 播 . 多 播 泛 洪 阻塞 


研发 .市场 售后 等 部 网 络 内 有 大 量 移动 设备 ,因此 其 接 人 交换 机 安全 端口 适合 选用 
动态 学 习 安全 MAC 地 址 方式 ; 而 网 络 中 心 .管理 ,生产 等 部 不 应 出 现 大 量 移动 设备 , 因 
此 其 接 入 交换 机 安全 端口 适合 选用 粘性 学 习 安全 MAC 地 址 方式 。 

为 保证 接 入 交换 机 各 安全 端口 不 会 接 入 未 经 授权 的 交换 机 、 集 线 器 ,各 接 入 交换 机 安 
全 端口 的 安全 MAC 地 址 数目 限制 为 1 个 。 

网 络 中 心 .生产 部 网 络 要 提供 网 络 服务 ,因此 其 接 入 交换 机 安全 端口 应 配置 为 限制 违 
规模 式 ,以 保证 违规 行为 发 生 时 不 会 中 断 网 络 服务 。 管 理 部 要 求 保持 网 络 连接 最 大 可 靠 
性 ,因此 其 接 入 交换 机 安全 端口 也 应 配置 为 限制 违规 模式 ,以 保证 违规 行为 发 生 时 不 会 中 
断 网 络 连接 。 研 发 ,市场 、 售 后 等 部 网 络 在 保证 网 络 接 入 灵活 性 同时 安全 风险 更 大 ,适宜 
采用 关闭 违规 模式 ,提高 网 络 安 全 系数 。 

在 配置 了 安全 端口 关闭 违规 模式 的 交换 机 上 启用 err-disable 计时 器 可 以 在 指定 时 
间 间 隔 内 清除 端口 的 err-disable 状态 ,使 关闭 的 端口 不 需 网 管 员 干预 就 可 以 再 次 启用 ， 
因此 适合 于 研发 ,市场 、 售 后 等 部 网 络 内 接 入 交换 机 。 但 err-disable 计时 器 不 能 清除 配 
置 文件 中 的 粘 滞 安 全 MAC 地 址 ,因此 不 适 于 管理 部 、 网 络 中心 、 生 产 部 等 网 络 中 的 接 
入 交换 机 。 

除 全 0 MAC 地 址 外 ,各 部 网 络 中 不 应 出 现 的 MAC 地 址 可 根据 实际 情况 设置 。 

由 于 各 部 接 入 交换 机 均 设置 了 安全 端口 ,因此 应 配置 单 播 、 多 播 泛 洪 阻塞 减少 不 必要 
的 流量 。 

注意 : 由 于 网 络 中 所 有 设备 都 应 是 可 管理 的 ,所 以 网 络 中 所 有 交换 机 上 联 端 口 都 需 
配置 为 干道 (trunk) 模 式 以 允许 管理 VLAN 和 业务 VLAN 流量 通过 ,因此 以 上 列表 中 只 
在 各 交换 机 接 入 端口 上 实施 端口 安全 配置 。 

D 由 于 各 汇聚 交换 机 、 核 心 交换 机 的 端口 都 工作 在 干道 模式 ,上 且 这 些 设备 位 置 分 布 
相对 集中 ,恶意 用 户 直接 连接 到 这 些 端口 进行 MAC 欺骗 . 泛 洪 攻 击 的 可 能 性 较 小 ,因此 
对 这 些 端口 不 再 配置 端口 安全 。 
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3.6 DHCP WWT. IP 源 防 护 与 ARP 检测 技术 


3.6.1 DHCP 攻击 及 DHCP 监听 技术 简介 
1. DHCP 攻击 
目前 针对 DHCP 协议 进行 的 攻击 主要 有 以 下 两 种 类 型 。 
(D 对 DHCP 服务 器 进行 的 DoS 拒绝 服务 攻击 


如 图 3-21 Bras. AI DHCP 服务 器 不 对 DHCP 客户 端 进行 验证 就 响应 其 DHCP 请 
求 并 分 配 IP 地 址 的 这 一 安全 漏洞 ,恶意 用 户 只 要 在 网 络 上 广播 大 量 含有 不 同 伪造 MAC 
地 址 的 DHCP 请 求 报 文 ,就 可 以 很 快 耗 尽 DHCP 服务 器 地 址 池 中 有 限 的 TP 地 址 资源 , 导 


$t DHCP 服务 器 不 能 继续 提供 服务 。 


全 法 服务 器 
IP: 221.192.150.123 
域名 : www..icbe.com.cn 


合法 DNS 服务 器 
IP ; 202.207.120.35 


合法 
DHCP 服 务 器 


我 的 MAC 是 X1， LEYES 


MAC X1， 分 给 你 IP1 
一 | 


我 的 MAC 是 X2， 请 给 我 分 配 IP 


-一 


MAC X2， 分 给 你 IP2 

一 一 -一 ý ZO 

水 N 次 请 求 后 ， 
DHCP 服 务 器 IP 被 耗 尽 


请 给 我 分 配 IP 


- 


你 的 IP 是 YY， 
网 关 IP 是 : 202.207.122.166 
DNS 服 务 器 IP 是 : 202.207.122.166 


一 


请 解析 www.icbc.com.cn 


-| 


www.icbe.com.cnff'JIP {202.207.122.166 


~ 


登录 www.icbc.com.cn 的 用 户 名 、 口 令 


网 关 ， 这 是 给 位 于 网 络 xx 的 yy 主机 的 数据 ， 请 转发 


j 


图 3-21 DHCP 攻击 过 程 示 意图 


合法 网 关 
IP; 202.207.122.129 


假冒 
DHCP 服 务 器 
IP: 202.207.122.166 


窃取 用 户 名 、 口 令 


窃听 用 户 与 外 网 通信 数据 ， 
合法 用 户 无 法 与 外 网 通信 
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(2) 对 DHCP 客户 端 进行 的 欺骗 攻击 

如 图 3-21 所 示 , 利 用 DHCP 客户 端 不 对 DHCP 服务 器 进行 验证 的 安全 漏洞 ,恶意 用 
户 可 以 对 网 络 上 发 出 DACP 请 求 的 主机 发 动 DACP 欺骗 攻击 。 为 进行 DHCP 欺骗 攻 
击 , 恶 意 用 户 一 般 会 对 合法 DHCP 服务 器 进行 DoS 攻击 ,一旦 网 络 上 合法 的 DHCP 服务 
器 不 能 再 提供 服务 ,恶意 用 户 就 开始 假冒 DHCP 服务 器 响应 DHCP 客户 端 请 求 ,将 其 自 
身 地 址 作为 网 关 、DNS 服务 器 地 址 发 送 给 希望 获得 TP 地 址 的 主机 。 

当 被 欺骗 的 主机 开始 使 用 假冒 网 关 地 址 通信 时 ,就 会 把 所 有 到 其 他 网 络 的 流量 发 送 
给 恶意 用 户主 机 。 而 如 果 被 欺骗 的 主机 使 用 获得 的 假 DNS 服务 器 地 址 请 求解 析 要 访问 
的 服务 器 域名 时 ,恶意 用 户主 机 又 可 以 再 假冒 DNS 服务 器 ,将 伪造 的 DNS 解析 结果 返回 
给 被 欺骗 的 主机 ,从 而 将 用 户 引 导 到 假冒 服务 器 上 ,泄露 用 户 信息 。 

在 交换 机 上 配置 DACP 监听 ,只 从 可 信 的 端口 接收 DHCP 响应 报 文 ,同时 限制 端口 
上 通过 的 DACP 请 求 报 文 数 ,可 以 一 定 程度 上 防御 上 面 所 述 DHCP 攻击 。 


2. DHCP 监听 技术 

DHCP 监听 (DHCP Snooping) 技 术 主要 包括 以 下 两 方面 内 容 。 

(1) 定义 DHCP 可 信 端 口 

如 图 3-22 所 示 ,DHCP 监听 技术 通过 定义 哪个 端口 连接 到 可 信 DHCP 服务 器 ,来 限 
制 来 自 不 可 信 端 口 的 DHCP 响应 报 文 ,也 就 可 以 阻止 来 自 交 换 机 DACP 不 可 信 端 口 的 
假冒 DHCP 服务 器 或 恶意 用 户 发 出 的 假冒 DHCP 响应 报 文 。 


不 可 信 端 口 Fa0/24 


Fa0/1 可 信 端口 


Fa0/22 不 可 信 端 口 ] 


DHCP 响 应 报 文 


DHCP 响 应 报 文 
合法 
DHCP 服 务 器 


假冒 
DHCP 服 务 器 


图 3-22) DHCP 监听 技术 可 信 端 口 工作 原理 示意 图 


(2) 监听 DHCP 报 文 

DHCP 监听 特性 可 以 在 交换 机 每 个 VLAN 上 启用 。 启 用 DHCP 监听 的 交换 机 会 拦 
截 进入 VLAN 的 所 有 DHCP 流量 。 

对 于 拦截 的 DHCP 响应 报 文 ,交换 机 主要 进行 两 方面 工作 。 一 方面 ,丢弃 来 自 非 可 
信 端 口 的 DHCP 响应 报 文 ,使 只 有 连接 到 可 信任 端口 的 DHCP 服务 器 才能 分 发 IP 地 址 ; 
另 一 方面 ,根据 来 自 可 信和 端口 的 DHCP 响应 报 文 建立 一 个 DHCP 绑 定 表 , 内 容 包 括 客 户 
端 卫 地 址 ,MAC 地 址 、 端 口号 、VLAN 编号 、. 租 用 和 绑 定 类 型 信息 等 ,为 其 他 安全 技术 ， 
如 IP JR" DAT 的 实施 做 准备 。 

对 于 拦截 的 DHCP 请 求 报 文 ,交换 机 可 以 根据 DHCP 请 求 限 速 配置 ,丢弃 过 量 的 
DHCP 请 求 , 以 保护 DHCP 服务 器 免 受 DHCP DoS 攻击 。 同 时 如 果 配 置 使 用 Option82 
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扩展 字段 ,交换 机 还 可 以 在 DHCP 请 求 报 文中 插入 该 报 文人 站 的 端口 .VLAN 和 交换 机 
MAC 等 信息 作为 中 继 代 理 信息 字段 发 往 DHCP 服务 器 ,使 DHCP 服务 器 能 够 跟踪 
DHCP 地 址 池 中 已 分 配 的 TP 地 址 使 用 情况 。 

3.6.2 IP 地 址 欺骗 及 IP 源 防护 技术 简介 

IP 地 址 欺骗 攻击 是 指使 用 无 效 IP 地 址 或 者 假冒 他 人 IP 地 址 发 送 IP 分 组 欺骗 接收 
方 主机 的 网 络 攻 击 方法 。IP 地 址 欺骗 攻击 往往 是 其 他 网 络 攻 击 手段 的 基础 ,例如 前 述 
Smurf 攻击 就 是 利用 IP 地 址 欺骗 实现 DoS 攻击 。 

IP 源 防护 (IP Source Guarding,IPSG) 是 防御 IP 地 址 欺骗 的 技术 之 一 ,配置 了 IP 源 
防护 特性 的 交换 机 会 根据 配置 ,以 DHCP 监听 获得 的 DHCP 绑 定 表 或 者 静态 配置 的 IP 
源 绑 定 信息 作为 TP 源 绑 定 条 目 ,检查 网 络 中 数据 报 , 如 果 源 地 址 与 TP 源 绑 定 条 目 能 够 匹 
配 , 则 允许 这 些 数据 包 通 过 ,否则 就 将 其 丢弃 。 

为 保证 配置 了 IPSG 的 交换 机 在 第 一 时 间 形 成 TP. 源 绑 定 条 目 ,交换 机 上 的 非 可 信 端 
H ,在 链 路 开始 转换 为 UP 时 ,只 允许 DHCP 数据 报 文 通过 。 只 有 可 信 DHCP 服务 器 分 
配 了 IP 地 址 ,交换 机 学 习 到 DHCP 绑 定 表 , 形 成 了 IP 源 绑 定 条 目 后 , 才 在 端口 上 自动 加 
载 并 计算 基于 端口 的 PACL ,允许 其 他 流量 通过 。 

3.6.3 ARP 攻击 及 ARP 检测 技术 简介 
目前 常见 的 ARP 攻击 可 以 分 为 两 类 , 即 ARP 欺骗 攻击 和 ARP 洪水 攻击 。 


1. ARP 欺骗 攻击 及 防护 

ARP 欺骗 攻击 的 基本 原理 如 图 3-23 所 示 。 攻 击 主机 PCc 假冒 PCb 向 PCa 发 送 多 
个 伪造 ARP 响应 报 文 , 这 些 伪 造 ARP 响应 报 文 中 源 IP 为 PCb 的 IP 地 址 ,但 是 源 MAC 
却 为 PCe 的 MAC 地 址 。 此 时 如 果 PCb 不 能 正常 发 送 ARP 响应 报 文 , 则 PCa 会 将 收 到 
的 伪造 ARP 响应 报 文 内 容 写 人 ARP 缓存 ,而 PCa 发 往 PCb 的 通信 流量 ,会 被 错误 地 发 
往 MAC 地 址 aabb. ccdd. 0004, 即 PCc 处 。 


IP: 200.100.8.2 
MAC: aabb.ccdd.0002 == 


IP 报 文 
给 200.100.8.3 的 IP 报 文 


ARP 响 应 报 文 


我 是 200.100.8.3， 
我 的 MAC 是 aabb.ccdd.0004 


IP: 200.100.8.4 
MAC: aabb.ccdd.0004. 


ARP 响 应 报 文 PCe 


我 是 200.100.8.2， 
我 的 MAC 是 aabb.ccdd.0004 


IP 报 文 
给 200.100.8.2 的 IP 报 文 


IP: 200.100.8.3 [四 | 


MAC: aabb.ccdd.0003 =] 


PCb 


图 3-23 ARP 欺骗 攻击 原理 示意 图 


第 3 章 局 域 网 安全 


一 种 常见 的 ARP 欺骗 攻击 是 假冒 网 关 发 送 ARP 应 答 报 文 ,欺骗 网 络 中 主机 将 恶意 
主机 当做 网 关 , 而 把 所 有 到 外 网 的 访问 流量 发 送 给 它 ,这 种 攻击 可 导致 被 欺骗 主机 到 其 他 
网 络 的 连接 中 断 ; 另 一 种 常见 的 ARP 欺骗 攻击 是 向 被 欺骗 主机 发 送 大 量 含有 被 欺骗 主 
机 IP 地址 的 ARP 响应 报 文 ,这 种 攻击 可 使 被 欺骗 主机 以 为 出 现 TP 地 址 冲突 ,而 被 迫 从 
网 络 断 开 , 从 而 为 恶意 用 户 假冒 被 欺骗 主机 进行 其 他 攻击 提供 方便 。 

要 防范 ARP 欺骗 攻击 ,可 从 ARP 工作 原理 入 手 , 由 于 静态 ARP 条 目的 优先 级 高 于 
动态 ARP 信息 ,所 以 可 以 在 主机 和 网 络 设备 上 项 态 绑 定 ARP 条 目 , 防 范 假 骨 ARP 响应 
报 文 的 欺骗 攻击 。 这 种 防御 手段 有 两 种 实施 方式 ,一 种 是 在 主机 和 网 络 设备 的 ARP 组 
存 中 手工 配置 IP 地 址 、MAC 地 址 静态 绑 定 信息 ,但 实施 起 来 比较 耗 时 , 且 扩 展 性 差 ; 另 
一 种 相对 省 事 的 做 法 是 利用 动态 ARP 检测 (Dynamic ARP Inspection,DAI) 结 合 DHCP 
监听 和 IPSG 技术 依据 动态 获得 的 IP-MAC 绑 定 信息 实施 防御 。 

DAI 技术 的 基本 工作 原理 是 拦截 所 有 进入 交换 机 的 ARP 报 文 ,然后 将 其 与 有 效 的 
IP-MAC 绑 定 条 目 进行 比较 ,匹配 则 通过 ,不 匹配 则 丢弃 。 对 于 启用 了 DACP 监听 和 
DAI 的 交换 机 ,DHCP 绑 定 表 信 息 将 被 用 来 作为 有 效 IP-MAC 绑 定 条 目 ,而 没有 配置 
DHCP 监听 的 交换 机 则 以 ARP ACL 作为 依据 。 

2. ARP 洪水 攻击 及 防护 

ARP 洪水 攻击 的 基本 原理 是 向 网 络 发 送 大 量 ARP 广播 包 , 利 用 ARP 协议 短小 精干 且 
能 够 大 量 耗费 交换 机 及 网 卡 处 理 能 力 的 特点 ,对 交换 机 、 路 由 器 .主机 等 进行 DoS 攻击 ,使 其 
因 和 负荷 过 大 拒绝 服务 ,导致 整个 局 域 网 掉 线 。 进 行 ARP 洪水 攻击 时 ,恶意 用 户 可 以 通过 修 
Be ARP 广播 报 文 和 数据 帧 中 的 源 MAC WR TP 地 址 ,防止 自己 在 攻击 时 被 返回 流量 堵塞 。 

目前 防御 ARP 洪水 攻击 的 方法 主要 是 限制 进入 网 络 中 的 ARP 报 文 流 量 。 配 置 
DAI 限 速 可 以 控制 进入 交换 机 端口 的 ARP 报 文 数量 ,降低 ARP 洪水 攻击 的 力度 。 
3.6.4 DHCP 监听 配置 方法 

DHCP {ih IP 源 防 护 与 ARP 检测 技术 在 不 同 交换 机 上 的 配置 操作 有 所 不 同 ,这 些 技 
术 也 不 是 防范 DACP 攻击 IP 欺骗 攻击 、ARP 攻击 的 唯一 方法 。 下 面 以 Cisco Catalyst 2960 
交换 机 12. 2(50) 版 本 的 IOS 为 例 介 绍 相应 配置 方法 。 

在 Cisco Catalyst 2960 交换 机 上 配置 DHCP 监听 的 基本 步骤 如 表 3-19 所 示 。 


#3-19 DHCP 监听 配置 步骤 


序号 操 fF 有 关 命 令 是 否 必要 
步骤 1 | 全 局 启用 DHCP 监听 ip dhcp snooping 是 

指定 在 哪些 VLAN 上 进行 |， 
步骤 2 DHCP 监听 ip dhcp snooping vlan 是 

pa á , 根据 网 络 具 体 

步骤 3 | 配置 DHCP 可 信 端 口 ip dhcp snooping trust 情况 配置 
步骤 4 | 配置 DHCP 报 文 端口 限 速 ip dhep snooping limit rate 可 选 
步骤 5 | 检查 DHCP 监听 配置 show ip dhcp snooping 可 选 
步骤 6 FI Option ek ip dhep snooping information option | 可 选 
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1. 启用 DHCP 监听 
在 Cisco Catalyst 交换 机 上 ,启用 DHCP 监听 的 操作 为 在 全 局 配置 模式 下 输入 : 


ip dhcp snooping 

在 Cisco Catalyst 交换 机 上 ,指定 DHCP 监听 VLAN 的 操作 为 在 全 局 配置 模式 下 输入 

ip dhcp snooping vlan { VLAN 起 始 编 号 [ - VLAN 起 始 编号 ] ) 

或 者 

ip dhcp snooping vlan ( VLAN 编 号 1 [ ，VLAN 编 号 n [...] } 

例如 ,要 在 VLAN 1 和 VLAN 10 上 启用 DHCP 监听, 则 可 以 在 全 局 配置 模式 下 输入 : 

C2960(config)# ip dhep snooping vlan 1.10 

2. 配置 DHCP 可 信 端 口 

在 Cisco Catalyst 交换 机 上 ,启用 DHCP 可 信 端 口 的 操作 为 在 端口 模式 下 输入 : 

ip dhcp snooping trust 

例如 , 当 可 信 DHCP 服务 器 连接 在 交换 机 Fa0/1 端口 时 ,就 可 以 如 下 配置 来 允许 从 
交换 机 Fa0/1 端口 进入 的 DHCP 响应 报 文 。 


C2960(config) interface fa0/1 
C2960(config-if) # ip dhep snooping trust 


3. 配置 DHCP 报 文 限 速 

在 Cisco Catalyst 交换 机 上 ,配置 DHCP 报 文 限 速 的 操作 为 在 端口 模式 下 输入 : 
ip dhcp snooping limit rate <1-2048> 

该 命令 最 后 一 个 参数 为 该 端口 允许 的 pps, 即 每 秒 包 个 数 , 取 值 范 围 为 1 一 2048。 
4. 检查 DHCP 监听 配置 

在 Cisco Catalyst 交换 机 上 ,检查 DHCP 监听 配置 的 操作 为 在 特权 模式 下 输入 : 
show ip dhep snooping 

该 命令 输出 结果 如 下 。 

C2960# show ip dhcp snooping 

Switch DHCP snooping is disabled 

DHCP snooping is configured on following VLANs: 

1,10 

DHCP snooping is operational on following VLANs: 


1 
DHCP snooping is configured on the following L3 Interfaces: 


Insertion of option 82 is disabled 
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circuit-id default format: vlan-mod-port 
remote-id: 0023. 3478. b000 (MAC) 
Option 82 on untrusted port is not allowed 
Verification of hwaddr field is enabled 
Verification of giaddr field is enabled 
DHCP snooping trust/rate is configured on the following Interfaces: 


Interface Trusted Allow option Rate limit (pps) 


FastEthemet0/1 yes ys unlimited 
Custom circuit-ids : 
FastEthernet0/24 yes yes 1 
Custom circuit-ids : 
HB. 显示 端口 FastEthernetO/1 和 FastEthernet0/24 配置 为 可 信 端 口 , 端口 
FastEthernet0/1 没有 配置 限 速 ,而 端口 FastEthernet0/24 配置 限 速 每 秒 仅 允 许 1 个 报 文 
5. 启用 或 禁用 Option 选项 
在 Cisco Catalyst 交换 机 上 ,一旦 启用 DHCP 监听 ,默认 就 会 在 转发 的 DHCP 请 求 
报 文中 插入 Option 字段 信息 。 可 以 在 全 局 配置 模式 下 输入 如 下 命令 来 禁止 向 DHCP 请 
求 报 文 中 插入 Option 字段 。 


no ip dhcp snooping information option 


3.6.5 P 源 防护 技术 配置 方法 

在 配置 IPSG 前 , 需 了 解 以 下 一 些 技术 实施 细节 。 

IPSG 只 能 在 二 层 接 入 或 干道 端口 配置 ,并 且 该 端口 不 能 是 DHCP 可 信 端 口 。 

IPSG 对 非 可 信和 端口 的 过 滤 分 为 基于 源 TP 地 址 和 基于 源 IP 及 MAC 地 址 两 种 等 级 。 
其 中 ,使 用 基于 源 IP 地 址 过 滤 IP 流量 时 ,只 有 IP 流量 中 的 源 IP 地 址 与 IP 源 绑 定 条 目 
匹配 ,IP 流量 才能 通过 交换 机 ; 使 用 基于 源 IP 地 址 过 滤 IP 流量 时 ,只 有 IP 流量 中 的 源 
IP 地 址 .MAC 地 址 都 与 IP 源 绑 定 条 目 匹 配 时 ,IP 流量 才能 通过 交换 机 。 

IPSG 配置 分 为 基于 DHCP 绑 定 表 和 静态 绑 定 两 种 。 其 中 基于 DHCP 绑 定 表 的 配 
置 步骤 如 表 3-20 所 示 ,基于 静态 绑 定 的 配置 步骤 如 表 3-21 Bron o 

表 3-20 基于 DHCP 监听 的 IPSG 配置 步骤 


序号 # 作 相关 命令 是 否 必要 
配置 全 局 启用 DHCP 监听 ip dhcp snooping 
步骤 1 | 指定 哪些 VLAN 上 进行 DHCP 监听 | ip dhcp snooping vlan 是 
指定 DHCP 可 信 端 口 ip dhcp snooping trust 
m 指定 进行 IPSG 的 端口 以 及 过 滤 | ip verify source 根据 过 滤 等 
等 级 ip verify source port-security 级 确定 
show ip verify source 
步骤 3 oo show ip source binding 可 选 
debug ip verify source packet 


ÃO 
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表 3-21 基于 静态 绑 定 的 IPSG 配置 步骤 


序 号 操 作 相关 命令 是 否 必 要 
步骤 1 | 配置 静态 绑 定 条 目 ip source binding 是 

指定 进行 IPSG 的 端口 以 及 过 滤 | ip verify source 根据 过 滤 等 级 
步骤 2 A 

等 级 ip verify source port-security 确定 
步骤 3 检查 IPSG 源 绑 定 条 目 信息 . show ip verify abd Wit 

检查 DHCP 监听 绑 定 表 条 目 信息 show ip source binding 


1. 指定 进行 IPSG 的 端口 及 过 滤 等 级 

在 Cisco Catalyst 2960 交换 机 上 ,指定 进行 IPSG 的 端口 及 过 滤 等 级 的 操作 为 在 端口 
模式 下 输入 : 

ip verify source [ port-security ] 

使 用 该 命令 时 , 带 port-security 关键 字 , 则 表明 该 端口 被 配置 为 进行 IPSG ,同时 过 滤 
等 级 为 基于 源 IP 和 MAC。 不 带 port-security 关键 字 , 则 表明 该 端口 被 配置 为 进行 
IPSG, 且 过 滤 等 级 为 基于 源 IP。 

2. 配置 静态 源 IP 绑 定 条 目 

在 Cisco Catalyst 2960 交换 机 上 ,静态 源 IP 绑 定 条 目的 操作 为 在 全 局 配置 模式 下 
输入 : 

ip source binding ( MAC 地 址 ) vlan { VLAN 编 号 ) interface { 端口 号 } 

该 命令 定义 在 交换 机 某 个 端口 上 ,只 有 与 该 命令 中 定义 的 源 IP、 源 MAC 匹配 的 IP 
流量 能 够 通过 。 

3. 检查 IPSG 配置 及 绑 定 条 目 信息 

在 Cisco Catalyst 2960 交换 机 上 ,检查 IPSG 源 绑 定 配置 信息 的 操作 为 在 特权 模式 下 
输入 : 


show ip verify source 


该 命令 输出 结果 如 下 。 

C2960#show ip verify source 

Interface Filter-type Filter-mode IP-address Mac-address Vlan 
Fa0/23 ip-mac active 200. 100. 8.3 F4:AA:3D:63:C7:59 1 
Fa0/24 ip active 200. 100. 8. 5 1 


其 中 ,显示 端口 Fa0/23 配置 使 用 基于 源 IP、 源 MAC 等 级 的 过 滤 ,而 端口 Fa0/24 Be 
置 使 用 基于 源 IP 等 级 的 过 滤 。 图 中 过 滤 模 式 Filter-mode 字段 ,车 为 active 则 表明 启用 
T IPSG, 

在 Cisco Catalyst 2960 交换 机 上 ,检查 IPSG 源 绑 定 条 目 信 息 的 操作 为 在 特权 模式 下 
A. 
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show ip source binding 
该 命令 输出 结果 如 下 。 


C2960 # show ip source binding 


MacAddress IpAddress Lease(sec) Type VLAN Interface 
F4:AA:3D:63:C7:59 200. 100. 8. 3 infinite static I FastEthernet0/23 
00:15:58:86:BC:EC 200.100.8.5 85414 dhcp-snooping 1 FastEthernet0/24 


Total number of bindings: 2 


其 中 ,type 字段 显示 端口 Fa0/23 根据 静态 配置 进行 IP 流量 过 滤 ,而 端口 Fa0/24 配 
置 根 据 DHCP 监听 获得 的 IP 源 绑 定 条 目 进行 TP 流量 过 滤 。 
3.6.6 DAI 配置 方法 

在 配置 DAI 之 前 ,还 需 了 解 以 下 技术 实施 细节 。 

DAI 是 入 站 安全 特性 ,而 不 是 出 站 安全 特性 。 即 对 进入 交换 机 的 ARP 报 文 进行 拦 
截 处 理 ,但 不 对 出 站 ARP 报 文 进行 。 

DAT 中 可 定义 可 信 ARP 端口 ,对 于 可 信 端 口 , 交 换 机 不 进行 是 否 匹 配 操作 ,直接 
转发 。 

DAI 依赖 于 DHCP 监听 产生 的 IP-MAC 绑 定 信息 对 ARP 报 文 进行 过 滤 , 对 于 没有 局 
用 DHCP 监听 的 网 络 , 则 需要 配置 ARP ACL 来 定义 允许 或 拒绝 哪些 流量 。 基 于 DHCP 监 
听 的 DAI 配置 步骤 如 表 3-22 所 示 , 基 于 ARP ACL 的 DAI 配 置 步 骤 如 表 3-23 所 示 。 

表 3-22 基于 DHCP 监听 的 DAI 配 置 步骤 

序号 操 作 有 关 命 令 是 否 必要 


步骤 1 Æ VLAN 上 启用 DAI 安全 特性 | ip arp inspection vlan 是 
mr 指定 端口 是 否 为 可 信 ARP 端口 i Taro: ee rw 根据 需求 
(交换 机 各 端口 默认 为 不 可 信 端 品 | P UR epe 确定 
步骤 3 | 检查 DAL ARE show ip arp inspection interfaces 可 选 
show ip arp inspection vlan 
RS show ip dhcp snooping binding 4 
步骤 4 | 监测 DAI 运 行 xh di amp. laspeces: rae 可 选 
表 3-23 BF ARP ACL 的 DAI 配置 步骤 
序号 操 作 有 关 命 令 是 否 必要 
步骤 1 | 定义 ARP ACL amp secet 是 
permit 
步骤 2 | Æ VLAN 上 应 用 ARP ACL ip arp inspection filter 是 
步骤 3 | 配置 端口 为 非 可 信 ARP 端口 no ip arp inspection trust 是 
步骤 4 | Æ VLAN 上 打开 DAI ip arp inspection vlan 是 
show arp access-list 
步骤 5 | 检查 DAI 配 置 show ip arp inspection vlan 可 选 
show ip arp inspection interfaces 
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DAI 可 以 在 访问 端口 .干道 端口 EtherChannel 端口 和 私有 VLAN 端口 上 配置 。 

1. 基于 DHCP 监听 的 DAI 配 置 

表 3-22 显示 了 在 Cisco Catalyst 2960 交换 机 上 配置 基于 DHCP 监听 的 DAI 基本 
步骤 。 

(1) 启用 DAI 安 全 特性 

在 Cisco Catalyst 2960 交换 机 上 ,启用 DAI 安全 特性 的 操作 为 在 全 局 配置 模式 下 
输入 : 

ip arp inspection vlan ( VLAN 编 号 1 [ (. | -) VLAN 编 号 x [..] J] ) 

例如 ,以 下 配置 将 在 VLAN 1, VLAN 10 和 VLAN20、21、…、30 上 启用 DAI, 

C2960(config) + ip arp inspection vlan 1,10,20-30 

(2) 指定 端口 为 可 信 ARP 端口 

在 Cisco Catalyst 2960 交换 机 上 ,启用 DAT 安全 特性 的 操作 为 在 端口 配置 模式 下 
输入 : 

ip arp inspection trust 

(3) 检查 DAI 配 置 

在 Cisco Catalyst 2960 交换 机 上 ,检查 各 端口 DAI 配 置 的 操作 为 在 特权 配置 模式 下 
输入 : 

show ip arp inspection interfaces 

该 命令 输出 结果 示例 如 下 。 


C2960#show ip arp inspection interfaces 


Interface Trust State Rate (pps) Burst Interval 
此 处 省 略 部 分 显示 … 
Fa0/21 Untrusted 15 1 
Fa0/22 Untrusted 15 1 
Fa0/23 Untrusted 15 1 
Fa0/24 Trusted None N/A 
此 处 省 略 部 分 显示 … 


其 中 ,端口 Fa0/24 由 于 被 配置 为 可 信 ARP 端口 ,因此 在 该 端口 上 不 进行 ARP 包 过 
滤 速 率 等 处 理 。 

在 Cisco Catalyst 2960 交换 机 上 ,检查 各 VLAN 上 DAI 配 置 的 操作 为 在 特权 配置 模 
AFA: 

show ip arp inspection vlan [ VLAN 编号 范围 ] 

该 命令 输出 结果 示例 如 下 。 


C2960 # show ip arp inspection vlan 1 
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Source Mac Validation : Disabled 
Destination Mac Validation ; Disabled 
IP Address Validation : Disabled 


Vlan Configuration Operation ACL Match Static ACL 


1 Enabled Active 
Vlan ACL Logging DHCP Logging Probe Logging 
1 Deny Deny Off 


注意 ; 如 果 不 指定 VLAN 编号 范围 参数 , 则 默认 显示 所 有 VLAN 的 DAI 配置 信息 。 
其 中 Configuration 字段 为 Enabled 表示 在 VLAN 1 中 已 经 配置 了 启用 DAT, 

(4) 监测 DAI 运行 

在 Cisco Catalyst 2960 交换 机 上 ,监测 各 VLAN 上 DAT 转发 .丢弃 ARP 报 文 情况 的 
操作 为 在 特权 配置 模式 下 输入 : 

show ip arp inspection statistics vlan [ VLAN 编号 范围 J 

该 命令 输出 结果 示例 如 下 。 


C2960# show ip arp inspection statistics vlan 1 


Vlan Forwarded Dropped DHCP Drops ACL Drops 
1 4 0 0 0 

Vlan DHCP Permits ACL Permits Probe Permits Source MAC Failures 
1 2 0 0 0 


Vian Dest MAC Failures IP Validation Failures Invalid Protocol Data 


1 0 0 0 
其 中 显示 在 该 VLAN 中 已 经 转发 .丢弃 的 ARP 报 文 数量 。 


2. 基于 ARP ACL 的 DAI 配 置 

表 3-23 显示 了 在 Cisco Catalyst 2960 交换 机 上 配置 基于 ARP ACL 的 DAI 基本 
步骤 。 

(1) 定义 ARP ACL 

在 Cisco Catalyst 2960 交换 机 上 ,定义 ARP ACL 的 操作 为 在 全 局 配置 模式 下 输入 : 


arp access-list { ARP 访问 控制 列表 名 } 
HA ARP ACL 配置 模式 后 ,输入 以 下 命令 定义 IP-MAC HERH: 


permit ip {host IP 地 址 | any | 源 卫 地址 通配符 } mac { host MAC 地 址 | 
any | 源 MAC 地 址 MAC 通配符 } 


例如 ,要 定义 IP 为 200. 100. 8.2, 而 MAC 为 0001. 0001. 0001 的 ARP ACL. WAT LA 


AA 
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输入 : 

C2960(config)# arp access-list test 

C2960(config-arp-nacl)# permit ip host 200.100.8.2 mac host 1.1.1 

(2) 应 用 ARP ACL 

在 Cisco Catalyst 2960 交换 机 上 ,应 用 ARP ACL 的 操作 为 在 全 局 配置 模式 下 输入 
如 下 命令 ,使 用 该 命令 可 以 将 已 经 定义 的 ARP ACL 应 用 在 指定 的 VLAN 中 。 


ip arp inspection filter { ARP 访问 控制 列表 名 ) vlan { VLAN 范 围 ) [static] 


关键 字 static 将 在 ARP ACL 末尾 隐 含 加 入 一 条 拒绝 所 有 的 语句 。 

(3) 检查 DAI 配置 

在 全 局 配置 模式 下 输入 如 下 命令 ,可 以 检查 DAI 配置 情况 。 

show arp access-list [ARP 访问 控制 列表 名 ] 

show ip arp inspection vlan | VLAN 范围 ) 

show ip arp inspection interfaces { 接口 编号 } 

其 中 ,show ip arp inspection interfaces 命令 可 以 显示 指定 端口 的 DAI 配置 情 
况 示例 如 下 。 


C2960#show ip arp inspection interface fa0/23 
Interface Trust State Rate (pps) Burst Interval 


Fa0/23 Untrusted 15 1 
其 中 ,显示 端口 Fa0/23 不 是 ARP 可 信 端 口 , 且 端口 ARP 速率 限制 为 15pps。 


3. 限制 端口 ARP 包 流量 的 配置 
R 3-24 显示 了 在 Cisco Catalyst 2960 交换 机 上 配置 限制 端口 ARP 包 流量 的 基本 
步骤 。 
表 3-24 限制 端口 ARP 包 流量 配置 步骤 


序号 操 作 有 关 命 令 是 否 必要 
步骤 1 | 配置 端口 ARP 包 流 量 ip arp inspection limit 是 
errdisable recovery cause arp-inspection 
2 disable 状态 i i 
| inna diable ore ivl "a 
m 检查 端口 ARP 包 流量 限制 show ip arp inspection interfaces x 


检查 errdisable 状态 恢复 配置 show  errdisable recovery 


在 Cisco Catalyst 2960 交换 机 上 ,配置 端口 ARP 包 流 量 的 操作 为 在 端口 配置 模式 下 
输入 如 下 命令 : 
ip arp inspection limit {none| rate <0-2048> } 


其 中 ,关键 字 none 表示 不 对 端口 做 速率 限制 ; 关键 字 rate 后 可 以 配置 端口 上 的 pps 
大 小 ,范围 为 0 一 2048。 
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在 Cisco Catalyst 2960 交换 机 上 ,启用 自动 从 errdisable 状态 恢复 的 操作 为 在 全 局 配 


置 模式 下 输入 : 


errdisable recovery cause arp-inspection 
在 Cisco Catalyst 2960 交换 机 上 ,配置 恢复 间隔 的 操作 为 在 全 局 配置 模式 下 输入 : 
errdisable recovery interval { 时 间 间 隔 } 


在 Cisco Catalyst 2960 交换 机 上 ,检查 errdisable 恢复 配置 的 操作 为 在 特权 模式 下 


show errdisable recovery 
该 命令 输出 结果 示例 如 下 。 


C2960 # show  errdisable recovery 


ErrDisable Reason Timer Status 
arp-inspection Enabled 

此 处 省 略 部 分 显示 … 

psecure-violation Disabled 
此 处 省 略 部 分 显示 … 


Timer interval: 300 seconds 
Interfaces that will be enabled at the next timeout; 


其 中 显示 已 经 启用 了 errdisable 恢复 , 且 时 间 间 隔 为 300 秒 。 


3.6.7 模拟 公司 总 部 局 域 网 DHCP 监听 .IP 源 防 护 与 ARP 检测 配置 


案例 
由 于 DHCP 攻击 、IP 欺骗 攻击 和 ARP 攻击 等 主要 侵犯 当地 网 络 , 因 此 在 模拟 公司 


总 部 局 域 网 中 的 接 入 交换 机 、 汇 聚 交 换 机 上 ,需要 配置 DHCP 监听 、IPSG 和 DAI, 来 保障 
网 络 通信 安全 。 


目前 模拟 公司 总 部 网 络 TP 地 址 分 配 情况 为 : 除 网 络 中 心 外 ,其 他 各 部 门 网 络 中 的 网 


关 、 服 务 器 使 用 静态 IP 地 址 ,普通 主机 使 用 动态 获得 的 TP 地 址 ,DHCP 服务 器 连接 在 各 
楼 汇聚 交换 机 一 侧 。 网 络 中 心 所 有 主机 及 设备 均 使 用 静态 TP. 


根据 以 上 网 络 实际 情况 和 各 安全 特性 配置 限制 ,可 实施 表 3-25 所 示 安 全 配置 方案 。 
表 3-25 各 VLAN DHCP 监听 及 DAI 配置 方案 


部 门 是 否 启用 | IP-MAC- 端 口 -VLAN | 是 否 启 用 | ARP 绑 定 条 目 


udis /VLAN 编号 “| DHCP 监听 | ， 绑 定 表 生成 方式 “| DAI | 生成 方式 
C2960-0-1-n 网 络 中 心 /10 不 启用 ARP ACL 
C2960-0-2-n 行政 管理 部 /20 y 
市 场 部 /30 AEL E rr 
C2960-0-3-n 研发 部 /40 启用 其 他 主机 为 DHCP E a 
机 为 DHCP 
售后 部 /50 监听 监听 


C2960-0-4-n 生产 部 /60 


~ 
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除 网 络 中 心 外 ,其 他 各 部 门 网 络 VLAN 中 均 启用 DHCP 监听 ,防止 假冒 DHCP 响应 
报 文 欺骗 需 动态 获得 TP 地 址 的 主机 。 

由 于 网 络 中 的 服务 器 需要 使 用 静态 IP, 所 以 在 各 接 入 交换 机 上 ,需要 使 用 ip source 
binding 命令 为 其 配置 IP-MAC- 端 口 -VLAN 绑 定 信息 ,而 其 他 使 用 DHCP 的 主机 使 用 
DHCP 监听 方式 自动 生成 绑 定 信息 ,同时 对 连接 普通 主机 端口 配置 IPSG。 

在 各 网 络 中 均 启用 DAI 来 防御 ARP 攻击 。 

除 网 络 中 心 外 ,各 部 门 网 络 VLAN 中 配置 ARP ACL 允许 来 自 各 使 用 静态 IP 地 址 
服务 器 的 流量 ,同时 使 用 DHCP 监听 信息 过 滤 来 自 各 动态 获得 IP 地 址 主机 的 流量 。 

各 汇聚 交换 机 下 联接 入 交换 机 和 上 联 核心 交换 机 的 端口 ,由 于 要 通过 多 个 VLAN 的 
流量 ,因此 需 配 置 为 干道 端口 。 各 汇聚 交换 机 端口 DHCP 监听 .DAI\IPSG 配置 方案 如 
K 3-26 所 示 。 


353-26 各 汇聚 交换 机 端口 DHCP 监听 .DAIIPSG 配置 方案 
C3550-0-2-1,C3550-0-3-1,C3550-0-4-1 


下 联接 入 交换 机 的 端口 | 连接 DHCP 服务 器 的 端口 | 上 联 核心 交换 机 的 端口 
类 型 干道 接 人 干道 
DHCP 可 信 端 口 不 可 信 可 信 可 信 
DHCP 限 速 300pps 
启用 IPSG 启用 不 启用 启用 
ARP 可 信 端 口 不 可 信 可 信 可 信 
ARP 限 速 500pps 


由 于 DHCP 服务 器 位 于 汇聚 交换 机 一 侧 而 不 是 接 入 交换 机 ,因此 下 联 各 接 入 交换 机 
端口 需 配 置 为 不 可 信 DHCP 端口 ,另外 由 于 DHCP 广播 不 能 跨越 网 络 , 因 此 汇聚 交换 机 
上 联 核心 交换 机 的 端口 需 配 置 为 可 信 DHCP 端口 。 

考虑 到 汇聚 交换 机 下 联网 络 规模 (500 一 2000 台 ) ,DHCP 服务 工作 特点 (DHCP 租约 
期 限 一 般 较 长 ,租约 期 间 DACP 流量 较 少 )、DHCP 服务 器 性 能 限制 ,因此 汇聚 交换 机 不 
可 信 DHCP 端口 DHCP 报 文 速率 可 配置 为 300pps。 

在 下 联接 入 交换 机 的 端口 配置 IPSG ,可 以 防范 来 自 各 部 门 网 络 内 的 IP 欺骗 攻击 。 

将 下 联接 入 交换 机 的 端口 配置 为 不 可 信 ARP 端口 ,可 以 防御 跨 交 换 机 VLAN 内 的 
ARP 攻击 。 由 于 ARP 攻击 局 限 在 一 个 网 络 内 部 ,因此 连接 DHCP 服务 器 、 核 心 交换 机 
的 汇聚 交换 机 端口 可 配置 为 可 信 ARP 端口 。 

考虑 到 汇聚 交换 机 下 联网 络 规模 (500 一 2000 台 )、ARP 协议 工作 特点 ,DHCP 服务 
器 性 能 限制 ,因此 汇聚 交换 机 不 可 信 DHCP 端口 ARP 报 文 速率 可 配置 为 500pps。 

接 入 交换 机 因为 要 通过 上 联 端 口传 输 多 个 VLAN 流量 ,所 以 上 联 端 口 配置 为 干道 模 
式 , 下 联 主机 为 安全 起 见 , 一 律 配置 为 接 人 模式 。 各 接 人 交换 机 端口 DHCP 监听 、DAT、 
IPSG 配置 方案 如 表 3-27 所 示 。 
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33-27. 各 接 入 交换 机 端口 DHCP 监听 .DAI\IPSG 配置 方案 


C2960-0-2-n ,C2960-0-3-n .C2960-0-4-n 


下 联 主机 端口 上 联 汇聚 交换 机 的 端口 
类 型 接 人 干道 
DHCP 可 信和 端口 不 可 信 可 信 
DHCP 限 速 15pps 
启用 IPSG 启用 不 启用 
ARP 可 信 端 口 不 可 信 可 信 
ARP 限 速 50pps 


恶意 用 户 或 感染 了 病毒 或 木马 的 主机 可 能 通过 接 入 端口 使 用 DHCP 欺骗 等 攻击 网 
络 内 其 他 主机 ,因此 连接 各 主机 的 端口 配置 为 DHCP 不 可 信 端 口 。 

连接 单 台 主机 的 端口 ,正常 发 送 的 DHCP 报 文 数量 有 限 , 因 此 限 速 为 15pps。 

如 上 所 述 ,连接 恶意 用 户 可 能 会 在 交换 机 接 入 端口 发 动 TP 欺骗 攻击 ,所 以 需 配 置 IPSG。 

恶意 用 户 或 感染 了 病毒 或 木马 的 主机 可 能 通过 接 入 端口 使 用 ARP 欺骗 等 攻击 网 络 
内 其 他 主机 ,因此 连接 各 主机 的 端口 配置 为 ARP 不 可 信 端 口 。 

连接 单 台 主机 的 端口 ,正常 发 送 的 ARP 报 文 数量 有 限 , 建 议 限 速 为 50pps。 


3.7 私有 VLAN 


3.7.1 私有 VLAN 与 受 保护 端口 技术 简介 

使 用 ACL 可 以 限制 网 络 中 各 主机 之 间 的 访问 ,但 需要 在 每 个 端口 配置 管理 ACL, 增 
加 了 管理 复杂 度 。 私 有 VLAN(Private VLAN,PVLAN) 和 受 保护 端口 技术 可 以 在 二 层 
将 交换 机 上 的 端口 完全 隔离 开 来 ,阻塞 VLAN 内 主机 间 的 通信 ,防御 VLAN 内 主机 间 的 
彼此 攻击 。 

受 保护 端口 与 PVLAN 区 别 在 于 , 受 保护 端口 技术 只 能 在 本 地 交换 机 上 隔离 各 端 
口 , 而 PVLAN 不 但 能 在 本 地 实现 端口 间 的 隔离 ,还 可 以 在 多 个 交换 机 上 实现 。 

私有 VLAN 支持 以 下 3 类 通信 端口 ,实现 端口 间 通 信 隔 离 。 

(1) 混杂 (Promiscuous) 端 口 。 能 够 与 所 有 端口 通信 ,包括 PVLAN 中 的 隔离 .团体 
端口 。 该 种 端口 一 般 用 于 连接 上 级 网 络 设 备 。 

(2) 孤立 (Isolated) 端 口 。 只 能 与 同一 个 PVLAN 中 的 混杂 端口 通信 。 孤 立 VLAN 
从 二 层 上 完全 与 同一 个 PVLAN 中 除 混杂 端口 外 的 其 他 端口 隔离 开 来 。 

(3) 团体 (Community) 端 口 。 能 与 同一 个 PVLAN 中 同一 团体 内 的 其 他 端口 通信 ， 
也 能 与 同一 个 PVLAN 中 的 混杂 端口 通信 ,但 从 二 层 上 完全 与 同一 个 PVLAN 中 的 其 他 
团体 内 的 端口 或 者 孤立 端口 隔离 开 来 。 

对 应 于 以 上 3 种 端口 类 型 ,PVLAN 结构 中 存在 以 下 3 种 PVLAN。 

(OD = VLAN(Primary VLAN). 混杂 端口 位 于 主 VLAN 中 。 主 VLAN 可 以 把 位 
于 其 中 的 混杂 端口 的 流量 传送 到 孤立 VLAN, Ak VLAN, 以 及 同一 个 主 VLAN 中 的 其 
他 混杂 端口 。 
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(2) 孤立 VLAN。 孤 立 端口 位 于 孤立 VLAN 中 ,孤立 VLAN 将 其 中 孤立 端口 的 流 
量 传送 到 一 个 混杂 端口 。 

(3) 团体 VLAN。 团 体 端 口 位 于 团体 VLAN 中 ,团体 VLAN 将 位 于 其 中 的 团体 端 
口 的 流量 传送 到 同一 团体 VLAN 内 的 团体 端口 ,也 可 以 传送 到 混杂 端口 ,但 不 能 传送 到 
其 他 团体 VLAN。 

注意 : 孤立 VLAN, Mik VLAN 也 叫 次 VLAN(Secondary VLAN)。 在 一 个 私有 
VLAN 中 ,可 以 有 一 个 主 VLAN 和 多 个 次 VLAN。 可 以 通过 PVLAN Trunk 端口 在 多 
个 交换 机 上 扩展 PVLAN。 
3.7.2 受 保 护 端口 .私有 VLAN 配置 方法 

1. 受 保护 端口 配置 

大 部 分 Cisco Catalyst 交换 机 都 支持 受 保护 端口 功能 。 

在 Cisco Catalyst 交换 机 上 ,配置 受 保护 端口 的 操作 为 在 端口 配置 模式 下 输入 : 


switchport protected 


在 Cisco Catalyst 交换 机 上 ,检查 端口 是 否 已 被 配置 为 受 保护 端口 的 操作 为 在 特权 模 
式 下 输入 : 

show interface XO switchport 

2. 私有 VLAN 配置 

配置 PVLAN 的 步骤 如 表 3-28 所 示 。 配 置 PVLAN 的 基本 步骤 可 以 简单 理解 为 首 
先 搭建 一 个 主 VLAN ,若干 孤立 VLAN 和 团体 VLAN ,并 将 次 VLAN 关联 到 主 VLAN, 
然后 配置 端口 模式 为 混杂 、 孤 立 、 团 体 端口 ,并 将 端口 映射 到 主 VLAN ,关联 到 次 VLAN, 


表 3-28 PVLAN 配置 基本 步骤 


序号 操 d 有 关 命 令 必要 性 
步骤 1 | 配置 交换 机 VTP 模式 为 透明 模式 | vtp mode transparent 是 
配置 VLAN 为 PVLAN, 并 设置 | 
步骤 2 PVLAN 类 型 private-vlan 是 
步骤 3 | 将 次 VLAN 关联 到 主 VLAN private-vlan association 是 
"m 配置 一 个 混杂 端口 ,并 将 该 混杂 端 | switchport mode  private-vlan promiscuous 是 
口 加 入 到 主 VLAN 中 switchport private-vlan mapping 
步骤 5 配置 端口 为 孤立 端口 或 团体 端口 ,| switchport mode private-vlan host 是 
映射 主 VLAN 关联 次 VLAN switchport private-vlan mapping 
检查 PVLAN 配置 show vlan private-vlan : 
dud 检查 端口 PVLAN 配置 show interface "e 


注意 : PVLAN 并 不 是 在 所 有 Cisco Catalyst 交换 机 上 都 能 得 到 支持 。 
下 面 以 C4500 系列 交换 机 的 PVLAN 配置 为 例 。 
(1) 配置 VLAN 为 PVLAN。 在 Cisco Catalyst 交换 机 上 ,配置 VLAN 为 PVLAN 
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的 操作 为 在 VLAN 配置 模式 下 输入 : 
private-vlan { isolated | primary | community } 


使 用 关键 字 isolated 意 为 将 PVLAN 配置 为 孤立 VLAN, ,使 用 关键 字 primary 意 为 
将 PVLAN 配置 为 主 VLAN, 使 用 关键 字 community 意 为 将 PVLAN 配置 为 团体 
VLAN. 

例如 ,将 VLAN20 配置 为 主 VLAN。 


Switch(config) # vlan 200 
Switch(config-vlan) # private-vlan primary 


Switch(config-vlan) # end 
注意 : 只 有 退出 VLAN 配置 模式 时 ,该 命令 才 会 真正 生效 。 


(2) 将 次 VLAN 关联 到 主 VLAN。 在 Cisco Catalyst 交换 机 上 ,将 次 VLAN 关联 到 
E VLAN 的 操作 为 在 主 VLAN 配置 模式 下 输入 : 

private-vlan association (次 VLAN 编 号 | add 次 VLAN 编 号 | remove 次 VLAN 编 号 } 

其 中 ,使 用 add 关键 字 并 且 跟 随 一 个 次 VLAN 编号 的 作用 与 直接 输入 次 VLAN 编 
号 的 作用 相同 ,都 用 于 将 一 个 次 VLAN 与 主 VLAN 关联 起 来 。 而 使 用 remove 关键 字 ， 
并 且 跟 随 一 个 次 VLAN 编号 , 则 会 删除 该 次 VLAN 与 主 VLAN 的 关联 关系 。 

(3) 配置 一 个 混杂 端口 ,并 将 其 映射 到 主 VLAN。 在 Cisco Catalyst 交换 机 上 ,配置 
一 个 端口 模式 为 混杂 模式 的 操作 为 在 端口 配置 模式 下 输入 : 


switchport mode  private-vlan promiscuous 


在 Cisco Catalyst 交换 机 上 ,将 混杂 端口 映射 到 主 VLAN 的 操作 为 在 端口 配置 模式 
下 输入 : 

switchport ”private -vlan mapping [trunk] X: VLAN 编号 (次 VLAN 编号 | add IX 

VLAN 编号 | remove 次 VLAN 编号 } 

该 命令 将 混杂 端口 映射 到 主 VLAN, 以 及 相关 联 的 次 VLAN. 

例如 ,下 面 命令 将 端口 Fa0/2 配置 为 混杂 端口 ,然后 映射 到 主 VLAN20, 关 联 到 次 
VLAN21。 

Switch(config) # interface fastethernet 0/2 

Switch(config-if) # switchport mode private-vlan promiscuous 

Switch(config-if) # switchport private-vlan mapping 200 210 

Switch(config-if) # end 

(4) 配置 端口 为 孤立 端口 或 团体 端口 ,映射 到 主 VLAN、 关 联 次 VLAN. 在 Cisco 
Catalyst 交换 机 上 ,将 端口 配置 为 host 端口 (孤立 端口 或 团体 端口 ) 的 操作 为 在 端口 配置 
模式 下 输入 : 


switchport mode  private-vlan host 
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在 Cisco Catalyst 交换 机 上 ,将 端口 映射 到 主 VLAN、 关 联 次 VLAN 的 操作 参见 前 


面 配置 。 


(5) 检查 PVLAN 和 端口 PVLAN 配置 。 在 Cisco Catalyst 交换 机 上 ,检查 PVLAN 


的 操作 为 在 特权 模式 下 输入 : 


show vlan private-vlan 


该 命令 输出 结果 如 下 。 注 意 , 其 中 团体 VLAN 318 没有 正确 关联 到 主 VLAN, 


Primary Secondary Type Interfaces 
300 301 community 

300 302 community 

300 303 community 

300 311 isolated 

318 community 


在 Cisco Catalyst 交换 机 上 ,检查 端口 PVLAN 的 操作 为 在 特权 模式 下 输入 : 
show interfaces iO switchport 
该 命令 输出 结果 如 下 。 


Name: Fa0/2 

Switchport: Enabled 

Administrative Mode: private-vlan promiscuous 

Operational Mode: private-vlan promiscuous 

此 处 省 略 部 分 显示 … 

Negotiation of Trunking:Off 

此 处 省 略 部 分 显示 … 

Administrative Private VLAN Host Association:none 
Administrative Private VLAN Promiscuous Mapping:300 (VLAN0300) 302 (VLAN0302) 
Private VLAN Trunk Native VLAN: none 

Administrative Private VLAN Trunk Encapsulation; dotlq 
Administrative Private VLAN Trunk Normal VLANs; none 
Administrative Private VLAN Trunk Private VLANs: none 
Operational Private VLANs: 

300 (VLANO0300) 302 (VLANO302) 

Trunking VLANs Enabled; ALL 

Pruning VLANs Enabled:2-1001 

此 处 省 略 部 分 显示 .… 


其 中 : 

该 端口 模式 被 配置 为 混杂 端口 。 

Q) 该 端口 模式 目前 状态 是 混杂 端口 。 

@ none 表示 该 端口 没有 被 配置 为 Host 端口 。 

@ 该 端口 被 配置 映射 到 主 VLAN300 ,关联 到 次 VLAN302, 


eo 


ee 
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© 该 端口 目前 工作 的 PVLAN 有 主 VLAN300 和 次 VLAN302。 

© PVLAN 只 能 被 配置 到 VLAN2~~VLAN1001 E. 
3.7.3 模拟 公司 总 部 局 域 网 PVLAN 配置 

根据 3.5. 3 小 节 所 述 ,为 实现 模拟 公司 市 场 部 主机 间 不 能 互 访 的 安全 需求 ,在 不 更 换 
接 人 交换 机 的 情况 下 ,可 以 在 该 部 门 网 络 连接 的 接 和 人 交换 机 C2960-0-3-n 上 配置 受 保护 
端口 。 但 如 果 可 以 使 用 Cisco 4500 系列 交换 机 替换 现 有 C2960 接 人 交换 机 , 则 可 以 在 该 
接 人 交换 机 上 配置 PVLAN ,来 隔离 主机 间 通 信 。 


3.8 VLAN 跳跃 攻击 与 防护 


由 于 Cisco Catalyst 交换 机 各 端口 的 干道 选择 模式 默认 为 auto, 所 以 如 果 交 换 机 在 
加 入 到 网 络 中 时 ,没有 修改 端口 干道 选择 模式 ,就 非常 容易 受到 VLAN 跳跃 攻击 。 图 3-24 
显示 了 一 种 VLAN 跳跃 攻击 方式 。 


1 
802.1Q 标 记 | 交换 机 剥离 802.1Q 封 装 ， VINO 
VLAN300 | 并 转发 帧 
vy E 被 攻击 


一 服务 器 


Trunk 端 口 
e 


[ 
1 
1 
— 1 
1 
1 
1 


xus IL 


图 3-24 VLAN 跳跃 攻击 示例 


图 3-24 中 ,攻击 者 将 攻击 用 交换 机 的 Trunk 端口 连接 到 网 络 中 的 交换 机 。 这 样 ,网 
络 中 的 交换 机 端口 模式 就 转变 为 干道 模式 ,攻击 者 就 可 以 访问 干道 连接 的 各 VLAN 中 
主机 。 

要 防护 这 种 VLAN 跳跃 攻击 非常 简单 ,只 需要 注意 修改 接 入 网 络 中 的 交换 机 端口 干 
道 选择 模式 ,对 于 非 必要 干道 端口 ,应 均 配 置 为 接 入 模式 。 


3.9 小 结 


局 域 网 安全 常用 网 络 安全 技术 有 : 端口 安全 技术 、IEEE 802. 1. x、 交 换 机 访问 控制 、 
DHCP 监听 、IP 源 防护 ,动态 ARP 检测 .私有 VLAN。 端 口 安全 可 以 将 端口 与 特定 MAC 
绑 定 起 来 ,保证 从 端口 人 站 数据 帧 是 可 靠 的 。IEEE 802. 1x 提供 了 局 域 网 主机 通过 EAP 
消息 传递 身份 认证 信息 的 方式 。 交换机 支持 RACL, VACL,PACL 等 多 种 访问 控制 。 
DHCP 监听 、IP 源 防护 和 动态 ARP 检测 技术 可 以 保护 交换 机 抵抗 DHCP 欺骗 ,IP 欺骗 
All ARP 攻击 。 私 有 VLAN 技术 提供 了 在 更 细 颗 粒度 的 VLAN 技术 。 
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3.10 习题 
1. 下 列 哪 条 命令 可 以 在 Cisco IOS 的 交换 机 上 启用 AAA? ( D 
A. aaa authentication B. aaa new-model 
C. radius-server host D. login authentication 
2. RADIUS 协议 使 用 哪 种 传输 层 协议 ? C J 
A: TCP B. UDP C. FTP D; HTTP 
3. RADIUS 客户 端 与 服务 器 使 用 什么 进行 验证 ? ( ) 
A. 一 次 性 口令 (OTP) B. 共享 密 钥 
C. 令 牌 D. 非 对 称 密 钥 
4. 在 管理 员 成 功 通过 身份 验证 后 ,( ) 功 能 用 于 允许 其 访问 网 络 中 的 资源 。 
A. 访问 控制 B. 身份 验证 C. 授权 D. 记 账 
5. 管理 员 发 现在 网 络 中 进行 AAA 配置 后 不 能 远程 登录 到 网 络 设备 上 进行 管理 ,此 


时 应 使 用 什么 命令 进行 排 错 ? C ) 


A. show accounting 

B. debug aaa accounting 

C. debug radius accounting 

D. debug aaa authentication 

E. debug radius authentication 

F. show login 

6. IEEE 802. 1x 体系 结构 中 定义 了 哪 3 类 角色 ? ( 

A. 请 求 者 B. 授权 者 C. 认证 者 D. 认证 服务 器 
E. 客户 端 

7. 请 求 者 与 授权 者 间 将 EAP 消息 封装 在 哪个 数据 结构 中 ? CO) 

A. 数据 帧 B. UDP 报 文 C. TCP 报 文 D. ARP 报 文 
8. 下 列 哪 种 ACL 可 以 应 用 到 二 层 端 上 ?( ) 

A. RACL B. PACL C. VACL D. 以 上 全 是 
9. 交换 机 的 哪 种 安全 特性 可 以 用 来 防御 MAC 欺骗 攻击 ?( ) 

A. IPSG B. DAI C. DHCP 监听 — D. 端口 安全 
10. 防范 MAC 泛 洪 攻击 可 以 通过 配置 哪 项 安全 配置 实现 ? 

A. IPSG B. DAI C. DHCP 监听 D. 端口 安全 
E. PACL 


11. 判断 题 : 交换 机 端口 安全 配置 sticky 选项 可 以 降低 端口 安全 配置 工作 。 
. 判断 题 : 交换 机 端口 安全 配置 使 用 静态 绑 定 MAC 在 交换 机 端口 重启 后 会 


je 
~ 


失效 。 
13. 交换 机 的 哪 种 特性 可 以 防御 ARP 攻击 ? (  ) 
A. IPSG B. DAI C. DHCP 监听 — D. 端口 安全 
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14. 检查 DHCP 监听 获得 的 DHCP 绑 定 表 的 命令 是 ( ds 


A. show ip source binding B. show ip dhcp snooping binding 

C. show ip arp inspection vlan D. show ip dhcp snooping 

15. 使 用 哪 条 命令 可 以 检查 IPSG 绑 定 条 目 ? CD 

A. show ip source binding B. show ip dhcp snooping binding 

C. show ip arp inspection vlan D. show ip dhcp snooping 

16. 使 用 哪 条 命令 可 以 检查 DA 是 否 已 经 配置 在 端口 F? C ) 

A. show ip source binding B. show ip dhcp snooping binding 

C. show ip arp inspection vlan D. show ip arp inspection interface 


17. IPSG 绑 定 条 目 信 息 包 括 哪些 内 容 ? (  ) 
A. MAC 地 址 IP 地 址 、 租 期 、 绑 定 类 型 `.DHCP 地 址 池 名 、VLAN 编号 .该 条 目 对 应 


的 不 可 信 交 换 机 端口 号 

B. MAC 地 址 IP 地 址 、 租 期 、 绑 定 类 型 `.DHCP 地 址 池 名 、VLAN 编号 .该 条 目 对 应 
的 可 信 交 换 机 端口 号 

C. MAC 地 址 、 租 期 、 绑 定 类 型 `.DHCP 地 址 池 名 、VLAN 编号 .该 条 目 对 应 的 不 可 信 
交换 机 端口 

D. MAC 地 址 ,IP 地 址 、 租 期 .DHCP 地 址 池 名 、VLAN 编号 .该 条 目 对 应 的 不 可 信 
交换 机 端口 


18. 判断 题 DACP 绑 定 表 与 IPSG 绑 定 条 目 内 容 完 全 相同 。 

19. 私有 VLAN 结构 中 定义 了 哪些 类 型 的 PVLAN? ( ) 

A. isolated B. primary C. community D. promiscuous 
E. secondary 

20. 哪 种 方法 是 防御 VLAN 跳跃 攻击 的 必要 手段 ?( ) 

. 关闭 端口 的 干道 协商 

. 配置 端口 工作 在 全 双 工 

. 配置 端口 工作 在 干道 选择 的 auto 模式 

. 配置 启用 端口 安全 


onw 


3.11 实 训 


3.11.1 AAA 配置 

1. 实 训 组 织 

实 训 学 时 : 50 分 钟 。 

学 生 分 组 : 2 人 /组 。 

2. 实 训 目的 

通过 实 训 熟练 掌握 : RADIUS 服务 器 安装 、 配 置 ; 网 络 设备 上 AAA 身份 验证 ,授权 、 
记 账 配置 的 基本 方法 和 操作 。 
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3. 实 训 环境 

(1) 安装 有 Windows 系统 并 保存 有 FreeRADIUS. net 安装 软件 的 PC, 每 组 2 台 。 

(2) Cisco 二 层 交 换 机 ,每 组 1 台 。 

(3) Cisco 三 层 交 换 机 或 路 由 器 ,每 组 1 台 。 

(4) UTP 直通 电缆 ,每 组 2 条 。 

(5) UTP 交叉 电缆 ,每 组 1 条 。 

(6) Console 电缆 ,每 组 2 条 。 

注意 : 保持 所 有 的 交换 机 、 路 由 器 为 出 厂 配 置 。Cisco 网 络 设备 的 IOS 要 支持 SSH 
功能 。 

4. 实 训 准备 

本 实 训 网 络 拓扑 如 图 3-25 所 示 ,该 图 对 图 3-1 模拟 公司 总 部 局 域 网 拓扑 示意 图 进行 了 
适当 简化 。 图 中 各 网 络 设备 .RADIUS 服务 器 .PC VLAN 及 IP 地 址 配置 如 表 3-29 所 示 。 


| 

| 

1 1， RADIUS Fa0/1 | — Fa0/1 核心 交换 机 
1 | 服务 器 C3550-0-0-1 
11 RAD-0-1-1 

it 

it 

pt 

ha 

pu 


\ 
1 
| PC-0-2-1 1 
1 [ E] VLAN200 | 
| 、- - -模拟 管理 部 门 LAN _./ 


图 3-25 AAA 实 训 网 络 拓扑 示意 图 


图 3-25 中 核心 交换 机 C3550-0-0-1 模拟 公司 总 部 局 域 网 的 核心 交换 机 ,该 交换 机 实 
现 模拟 网 络 中 管理 部 门 LAN 和 网 络 中 心 LAN 间 数 据 的 路 由 。PC-0-2-1 模拟 管理 部 门 
LAN 内 的 计算 机 ,本 实 训 中 要 模拟 网 络 管理 员 从 该 计算 机 使 用 Telnet/SSH 远程 登录 核 
心 交 换 机 C3550-0-0-1 和 接 人 交换 机 C2960-0-1-1 的 AAA 身份 验证 、 记 账 配 置 。 

实 训 前 需 按 图 3-25 所 示 拓 扑 搭 建 实 训 所 需 网 络 , 并 按照 表 3-29 完成 网 络 连通 性 配 
B. AKEH VLAN, VLAN 间 路 由 等 有 关内 容 可 参见 本 系列 教材 中 《计算 机 网 络 集成 
技术 》《 计 算 机 网 络 技术 基础 ?等 。 

注意 : 

(1) 在 核心 交换 机 C3550-0-0-1 上 需 创 建 VLAN99, VLANII 和 VLAN12。 其 中 
VLAN99 作为 该 交换 机 的 管理 VLAN,VLAN11 为 网 络 中 心 所 在 VLAN,VLAN12 为 管 
理 部 门 所 在 VLAN。 本 实 训 环 境 中 通过 配置 核心 交换 机 C3550-0-0-1 的 VLAN 虚 接 口 ， 
实现 VLAN 间 路 由 。 各 VLAN 虚 接 口 IP 如 表 3-29 所 示 。 

(2) 在 接 入 交换 机 C2960-0-1-1 上 需 创 建 VLAN11 和 VLAN99, 其 中 VLAN99 用 于 
432 VLAN, VLANI1 为 网 络 中 心 所 在 VLAN。 接 入 交换 机 C2960-0-1-1 的 管理 VLAN 
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Bika IP 如 表 3-29 所 示 , 注 意 要 为 该 交换 机 配置 默认 网 关 , 以 保证 其 他 网 络 的 主机 能 访 
问 该 网 络 设备 。 
表 3-29 AAA 实 训 网 络 设备 VLAN, IP 地址 分 配 


! VLAN 虚 接口 
设备 名 称 VLAN ID VLAN name 让 地 址 /网 络 前 级 SSH 所 属 域 
管理 VLAN: 99 mgmt VLAN99: 200. 100. 8. 65/26 
C3550-0-0-1 | VLAN; 10 nic VLANI0; 200. 100. 8. 1/26 sjzpc. edu. cn 
VLAN: 200 admin VLAN200: 200. 100. 8. 129/25 
Cio | MEE VLAN 99 od VLANg9: 200. 100. 8.66/26 | sjzpc. edu. cn 
VLAN; 100 nic 


(3) RADIUS 服务 器 和 测试 PC 的 IP 配置 如 表 3-30 所 示 。 
表 3-30 AAA 实 训 主 机 VLAN IP 地 址 分 配 


主机 名 称 所 属 VLAN IP 地 址 /网 络 前 级 WX IP 

RAD-0-1-1 VLAN: 10 200. 100. 8. 30/26 200. 100. 8. 1 

PC-0-2-1 VLAN: 20 200. 100. 8. 254/25 200. 100. 8. 129 
s. 实 训 内 容 


CD 模拟 公司 总 部 局 域 网 RADIUS 服务 器 安装 .配置 。 

BER, 安装 配置 一 台 RADIUS 服务 器 ,客户 端 与 其 共享 密 钥 为 Net& Sec@sjzpc; 网 
络 设备 远程 登录 用 户 名 为 自己 姓名 拼音 ,口令 为 自己 学 号 ,例如 用 户 名 为 th, 口 令 为 01。 

(2) 模拟 公司 总 部 局 域 网 网 络 设备 AAA 身份 验证 、 记 账 配 置 。 

要 求 : 配置 对 Telnet 到 C2960-0-1-1 和 SSH 到 C3550-0-0-1 进行 身份 验证 ; 对 登录 
后 exec, connection 事件 进行 记 账 。 

(3) AAA 配置 验证 。 

要 求 : 测试 能 否 使 用 配置 的 用 户 名 ,口令 登录 C3550-0-0-1、C2960-0-1-1; 测试 如 果 
输入 用 户 名 ,口令 错误 ,RADIUS 服务 器 不 工作 时 能 否 登 录 网 络 设备 ,思考 一 旦 出 现 以 上 
问题 的 备用 方案 ; 使 用 debug aaa authentication、 debug aaa accounting、 debug radius 
authentication、debug radius accounting 命令 观察 AAA 工作 过 程 。 

(4) 记 账 记录 分 析 。 

要 求 : 分 析 FreeRADIUS. net 身份 验证 和 记 账 记录 ,对 照 AAA 配置 ,检查 是 否 进行 
了 正确 的 记 账 ; 分 析 连 续 多 次 错误 输入 用 户 名 .口令 情况 下 , 记 账 记录 有 什么 特点 。 

6. 实 训 指导 

(1) 检查 网 络 连通 性 。 

启动 进入 PC-0-2-1 系统 ,在 CMD 窗口 输入 ping 200. 100. 8. 65 .ping 200. 100. 8. 66, 
ping 200. 100. 8. 30 命令 分 别 测试 到 达 C3550-0-0-1,C2960-0-1-1 管理 VLAN 虚 接 口 以 
及 RAD-0-1-1 的 网 络 连 通 性 ,应 均 能 ping 通 。 

使 用 console 方式 连接 到 C3550-0-0-1、C2960-0-1-1, 使 用 show 命令 检查 网 络 连通 性 
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配置 ,填写 实 训 报告 。 
(2) RADIUS 服务 器 安装 、 配 置 。 
参考 3. 2. 2 小 节 , 在 RAD-0-1-1 上 安装 .配置 FreeRADIUS. net, 
修改 clients. conf 文件 ,在 文件 其 他 clients 定义 内 容 末 增 加 如 下 内 容 。 


client 200. 100. 8. 65/26 ( 

secret = Net&Sec@sjzpe 
shortname = C3550-0-0-1 

} 

client 200. 100. 8. 66/26 { 

secret = Net&Sec@sjzpc 
shortname =  C2960-0-1-1 

} 


修改 users. conf 文件 ,在 该 文件 其 他 用 户 定 义 内 容 末 增 加 如 下 内 容 。 
用 户 名 User-Password 一 一 “用 户 密码 ” 


配置 完成 后 ,启动 FreeRADIUS. net 服务 。 

(3) 配置 C3550-0-0-1 启用 SSH. 

使 用 console 方 式 连接 C3550-0-0-1, 打 开 超 级 终端 窗口 ,进入 全 局 配置 模式 ,输入 如 
下 命令 。 


Switch(config) hostname C3550-0-0-1 

C3550-0-0-1 (config) & ip domain-name  sjzpc. edu. cn 

C3550-0-0-1 (config) # crypto key generate rsa 

The name for the keys will be: C3550-0-0-1. sjzpc. edu. cn 

Choose the size of the key modulus in the range of 360 to 2048 for your 
General Purpose Keys. Choosing a key modulus greater than 512 may take 
a few minutes. 


eeeo 


How many bits in the modulus [512]: 2048 © 
% Generating 2048 bit RSA keys ...[OK] 


C3550-0-0-1 (config) # 

* Mar 1 00:02:59,407: %SSH-5-ENABLED: SSH 1.5 has been enabled @ 
其 中 : 

CD 配置 核心 交换 机 C3550-0-0-1 的 主机 名 ,为 创建 SSH 密 钥 做 准备 。 

© 配置 核心 交换 机 C3550-0-0-1 的 域名 ,为 创建 SSH 密 钥 对 做 准备 。 

© 使 用 crypto key generate rsa 命令 为 核心 交换 机 创建 SSH 密 钥 对 。 
© 开始 创建 密 钥 对 ,程序 提示 密 钥 对 的 名 字 为 C3550-0-0-1. sjzpc. edu. cn. 
C 创建 密 钥 对 程序 提示 输入 密 钥 长 度 , 此 处 选择 2048, 

创建 密 钥 对 成 功 ,创建 密 钥 对 程序 提示 已 经 可 以 着 手 配 置 SSH 功能 。 
(4) 配置 C3550-0-0-1 使 用 RADIUS 进行 AAA 身份 验证 、 记 账 。 

在 全 局 配置 模式 ,输入 如 下 命令 。 


C3550-0-0-1Cconfig) 并 aaa  new-model 
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C3550-0-0-1 (config) # radius-server host 200.100.8.30  auth-port 1812 acct-port 1813 
C3550-0-0-1 (config) # radius-server key | Net&Sec(2 sjzpc 

C3550-0-0-lCconfig) & aaa authentication login ssh-auth-in group radius line 
C3550-0-0-l(config) # aaa accounting connection ssh-acc-conn group radius 
C3550-0-0-lCconfig) # aaa accounting exec ssh-acc-exec start-stop group radius 
C3550-0-0-1(config) # line vty 0 4 

C3550-0-0-1(config-line) # login authentication | ssh-auth-in 

C3550-0-0-1(config-line) # accounting connection | ssh-acc-conn 

C3550-0-0-1(config-line) # accounting exec ssh-acc-exec 

C3550-0-0-1(config-4line) # transport input ssh 


(5) 配置 C2960-0-1-1 使 用 RADIUS 进行 AAA 身份 验证 、 记 账 。 
使 用 console 方式 连接 C2960-0-1-1, 打 开 超 级 终端 窗口 ,进入 全 局 配置 模式 ,输入 如 
下 命令 。 


C2960-0-1-1(config) # aaa new-model 

C2960-0-1-1(config) # radius-server host 200.100.8.30  auth-port 1812 acctrport 1813 
C2960-0-1-1Cconfig) # radius-server key Net&Sec@sjzpe 

C2960-0-1-1(config) # aaa authentication login tel-auth-in group radius 
C2960-0-1-l(config) # aaa accounting connection tel-acc-conn start-stop group radius 
C2960-0-1-l(config) # aaa accounting exec tel-acc-exec start-stop group radius 
C2960-0-1-1(config) # line vty 0 4 

C2960-0-1-1(config-line) login authentication  tel-auth-in 
C2960-0-1-1Cconfig-line) # accounting connection tel-acc-conn 
C2960-0-1-1(config-line) # accounting exec  tel-acc-exec 


(6) 打开 调试 信息 ,测试 AAA 配置 。 
分 别 在 C3550-0-0-1、C2960-0-1-1 上 ,进入 特权 配置 模式 ,输入 如 下 命令 ,显示 网 络 设 
备 aaa 和 radius 调试 信息 。 


C2960-0-1-1# debug aaa authentication 

AAA Authentication debugging is on 

C2960-01-1# debug aaa accounting 

AAA Accounting debugging is on 

C2960-0-1-1# debug radius authentication 

Radius protocol debugging is on 

Radius protocol brief debugging is off 

Radius protocol verbose debugging is off 

Radius packet hex dump debugging is off 

Radius packet protocol (authentication) debugging is on 
Radius packet protocol (accounting) debugging is off 
Radius packet retransmission debugging is off 
Radius server fail-over debugging is off 

Radius elog debugging is off 

C2960-0-1-1 # debug radius accounting 

Radius protocol debugging is on 

Radius protocol brief debugging is off 

Radius protocol verbose debugging is off 

Radius packet hex dump debugging is off 
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Radius packet protocol debugging is on 

Radius packet retransmission debugging is off 

Radius server fail-over debugging is off 

Radius elog debugging is off 

在 PC-0-2-1 上 CMD 窗口 中 ,分 别 运行 Telnet 200. 100. 8. 65, Telnet — 200. 100. 8. 66, 
出 现 登录 窗口 时 ,输入 正确 的 用 户 名 、 口 令 , 测 试 能 否 登 录 。 同 时 观察 网 络 设备 上 的 调试 
输出 信息 。 

再 从 PC-0-2-1 上 多 次 登录 C3550-0-0-1、C2960-0-1-1, 输 入 任意 用 户 名 口令, 观察 调 
试 信息 输出 。 

将 C2960-0-1-1 的 Fa0/24 端口 宕 掉 , 再 从 PC-0-2-1 上 登录 C3550-0-0-1、C2960-0-1-1， 
输入 正确 的 用 户 名 \ 口 令 , 观 察 调试 信息 输出 。 

CO 检查 记 账 信息 。 

TE RAD-0-1-1 上 打开 FreeRADIUS. net 记 账 记录 所 在 目录 ,查看 记 账 信息 。 应 能 在 
FreeRADIUS. net 安装 目录 下 的 var\log\radius\radacct\ 子 目录 中 找到 目录 名 为 
200. 100. 8. 65 和 200. 100. 8. 66 的 子 目录 ,打开 子 目录 应 能 看 到 auth-detail- 日 期 . log, 
detail- 日 期 . log、reply-detail- 日 期 . log 等 文件 。 使 用 文本 编辑 器 打开 这 些 文件 ,检查 其 中 
的 记 账 信息 ,看 是 否 符合 配置 要 求 。 


7. 实 训 报告 
设备 ku 人 P 地 址 /网 络 前 缀 /默认 网 关 
C3550-0-0-1 interface Vlan99 
interface Vlanl0 
interface Vlan200 
p C2960-0-1-1 interface Vlan99 
网 络 连通 性 检查 PADOT 
PC-0-2-1 
测试 连通 性 命令 测试 结果 原因 分 析 
ping 200. 100. 8. 65 
ping 200. 100.8. 66 
配置 文件 配置 项 目 配置 指令 
有 关 200. 100. 8. 65 
FreeRADIUS 服务 器 | 客户 端的 配置 
配置 clients. conf 文件 HÆ 200. 100. 8. 66 
客户 端的 配置 
users. conf 文件 用 户 名 ,口令 配置 
配置 项 配置 命令 
Ee 创建 密 钥 对 启用 SSH 
ma 启用 AAA 
x RADIUS 服务 器 信息 
身份 验证 
记 账 
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续 表 
启用 AAA 
RADIUS 服务 器 
C2960-0-1-1 信息 
AAA 配置 身份 验证 
记 账 
远程 登录 序号 用 户 名 /口令 调试 输出 的 关键 信息 


第 1 次 (正确 用 户 名 / 
口令 ) 


aaa authentication 


aaa accounting 


radius authentication 


radius accounting 


C3550-0-0-1AAA Bd a 
置 调试 第 2 次 (错误 用 户 名 / 


口令 ) 


aaa authentication 


aaa accounting 


radius authentication 


radius accounting 


第 3 次 RADIUS 服务 器 
掉 线 


aaa authentication 


aaa accounting 


radius authentication 


radius accounting 


C2960-0-1-1AAA Rd | 第 1 次 (正确 用 户 名 / 
置 调 试 口令 ) 


aaa authentication 


aaa accounting 


radius authentication 


radius accounting 


事件 


记 账 记录 关键 信息 


登录 记录 


1 550-0-0-1 
第 1 次 登录 C3550 退出 登录 记 条 


登录 记录 
RADIUS 记 账 信息 | 第 2 次 登录 C3550 0 0 1 | 退出 登录 记录 


分 析 登录 记录 
第 3 次 登录 C3550-0-0-1 退出 登录 记录 


登录 记录 
2960-0-0- 
第 1 次 登录 C2960-0-0-1 messis 


后 再 远程 登录 C3550-0-0-1 


对 外 Telnet 连接 记录 


3.11.2 交换 机 端口 安全 配置 
1. 实 训 组 织 
实 训 学 时 : 100 分 钟 。 
学 生 分 组 : 2 人 /组 。 
2. 实 训 目的 
通过 实 训 ,熟练 掌握 交换 机 端口 安全 配置 基本 操作 。 


3. 实 训 环境 


COD. 安装 有 Windows 系统 、 网 络 监听 软件 (Wireshark)、MAC 地 址 修改 软件 (Mac 
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MakeUp) 的 PC, 每 组 3 台 。 


(2) Cisco 二 层 交 换 机 ,每 组 2 A. MA Cisco 二 层 交换 机 ,每 组 1 台 , 其 他 集线器 或 


交换 机 ,每 组 1 台 。 
(3) UTP 直通 电缆 ,每 组 2 条 。 
(4) UTP 交叉 电缆 ,每 组 1 条 。 
(5) Console 电缆 ,每 组 1 条 。 
注意 保持 所 有 的 交换 机 、 路 由 器 为 出 厂 配 置 。 


4. 实 训 准备 


实 训 开始 前 按照 图 3-26 所 示 网 络 拓扑 连接 好 网 络 , 其 中 ,Switchl 为 一 台 Cisco 二 层 交 
换 机 ,可 用 于 模拟 图 3-1 中 网 络 中 心 (VLAN100) 接 入 交换 机 和 行政 管理 部 (VLAN200) 接 入 
交换 机 的 端口 安全 配置 ; 另外 一 台 交换 机 或 集线器 与 计算 机 PCa 一 起 用 于 模拟 网 络 攻击 
设备 ; PCb 模拟 被 攻击 的 合法 主机 ,PCc 模拟 合法 主机 ,主要 用 于 验证 网 络 连通 性 。 


Swtichl 


Fa0/24' Fa0/22| 


Fy Swtich2 


Fa0/20 


sear DI He mi 
PCb 


PCa 


图 3-26 ”端口 安全 实 训 拓扑 示意 图 


PCc 


按照 表 3-31 中 所 示 为 网 络 中 3 台 主 机 配置 好 IP 地 址 ,并 在 实 训 前 检查 保证 网 络 连 


通 性 。 
表 3-31 端口 安全 实 训 主 机 IP 地 址 
设 备 人 PP 地址/ 网络 前 级 设 备 IP 地 址 /网 络 前 级 
PCa 200. 100. 8. 2/26 PCc 200. 100. 8. 4/26 
PCb 200. 100. 8. 3/26 


为 模拟 MAC 攻击 ,可 以 使 用 免费 MAC 地 址 修改 软件 Mac MakeUp。 该 软件 官方 


网 站 为 http://www. gorlani. com/publicprj/macmakeup/macmakeup. asp, 下 载 后 使 用 


winrar 释放 ,然后 直接 运行 MacMakeUp. exe 即 可 。 


5. 实 训 内 容 

(1) 动态 获得 安全 MAC 地 址 配置 。 
(2) MAC 地 址 泛 洪 攻防 模拟 。 

(3) 粘性 获得 安全 MAC 地 址 配置 。 
(D. MAC 地 址 欺骗 攻防 模拟 。 
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6. 实 训 指 导 

(1) 配置 交换 机 端口 安全 防御 

启动 Switch1, 并 使 用 console 方式 参考 3. 3. 3 小 节 中 网 络 中心 接 入 交换 机 端口 安全 
配置 方案 对 其 进行 配置 。 配 置 命令 如 下 。 


Switchl(config) # vlan 10 

Switch] (config-vlan) # name nic 

Switch] (configv-vlan) # exit 

Switch] (config) # interface range fa0/22 - 24 

Switch] (config-if-range) # switchport mode access 

Switch] (config-if-range) # switchport access vlan 100 

Switch] (config-if-range) # switchport  port-security 

Switch] (config-if-range) # switchport port-security maximum 1 
Switch] (config-if-range) # switchport port-security mac-address sticky 
Switch] (config-if-range) # switchport port-security violation  restict 
Switch] (config-if-range) # switchport block unicast 

Switch] (config-if-range) # switchport block multicast 

Switch] (config-if-range) # exit 

Switch] (config) # mac-address-table static 0000. 0000. 0000 vlan 100 drop 


配置 完成 后 ,在 PCa 上 CMD 命令 行 窗口 中 输入 ping 200. 100, 8. 3 命令 ,使 网 络 上 
产生 PCa 和 PCb 的 流量 ,此 时 应 能 ping 通 。 然 后 在 连接 到 交换 机 Switch] 的 终端 窗口 
中 输入 show  port-security address 命令 ,应 能 查看 到 交换 机 已 经 学 习 到 PCa, PCb 两 台 
计算 机 的 安全 MAC 地 址 。 


Switch] # show  port-security address 
Secure Mac Address Table 


Vlan Mac Address Type Ports Remaining Age 
(mins) 

100 0015. 58d3.0d5b ^ SecureSticky Fa0/22 - 

100 0015.5886. bcec — SecureSticky Fa0/24 - 

Total Addresses in System (excluding one mac per port) :0 


Max Addresses limit in System (excluding one mac per port) : 8192 


(2) MAC 地 址 泛 洪 攻击 模拟 

本 操作 使 用 MAC 地 址 修改 软件 对 PCa 的 MAC 地 址 进行 多 次 修改 ,模拟 MAC 地 址 
泛 洪 攻击 。 

注意 : 为 使 修改 的 MAC 地 址 生效 ,Mac MakeUp 会 自动 重启 网 卡 。 而 对 于 动态 学 
习 安 全 MAC 地 址 的 交换 机 ,端口 重启 会 清除 MAC 地 址 表 条 目 , 所 以 必须 在 PCa 与 
Switch] 间 连 接 一 个 交换 机 或 集线器 ,以 防止 PCa 网 卡 重启 清除 Switchl 上 动态 学 习 的 
安全 MAC 地 址 条 目 。 

首先 运行 MacMakeUp. exe, 打 开 图 3-27 所 示 界 面 。 

在 图 3-27 中 1 处 下 拉 列 表 框 中 选择 要 修改 MAC 地 址 的 网 卡 ,图 中 所 示 为 选择 了 
PCa 主机 上 的 一 块 PCI 网 卡 。 


CN 
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Select an adapter from the list below About Mac Makeup 
[0004 on PCI» Intel(R) PRO/1000 PL Network Connection (ver. 9.6.31.0) 1 zi 


Mac address- 
New address [045228550234 2— HE random E. | 


Manufacturer [Nove zi me 


T^ MAC history T Extra info 
WV. Filter virtual interfaces F Auto Nic Off/On 


IP extra features. Cycle interface now 


Loaded 6997 OEM IDs 
canning interfaces 
kipping virtual interfaces 
‘ound 17 network interfaces, 14 virtual 
tel(R) PRO/1000 PL Network Connection can be powercycied 
;Generated completely random MAC address 
Powercycing Intel(R) PRO/1000 PL Network Connection (ver. 9.6 ai 
down Intel(R) PRO/1000 PL Network Connection (ver 9 


ngin’ up Intel(R) PRO/1000 PL 


图 3-27 Mac MakeUp 运行 界面 


‘ik 3 处 的 Generate random 按钮 ,在 图 3-28 9R H 
单 中 选择 Completely random MAC 命令 随机 生成 一 个 


MAC 地 址 ,该 地 址 会 在 图 3-27 中 2 处 的 下 拉 列 表 框 中 


Completely random MAC 


Random device ID 
Random OID , 


显示 。 图 3-28 Mac MakeUp 随机 生成 
单 击 图 3-27 中 4 处 的 Change 按钮 改变 所 选 网 卡 的 MAC 弹出 菜单 
MAC 地 址 ,然后 在 PCa 机 CMD 命令 行 窗 口中 使 用 ipconfig/all 命令 检查 应 能 发 现 MAC 


地 址 已 经 被 修改 ,如 图 3-29 所 示 


"TTA 


: 媒体 已 断 开 


: Intel(R) PRO/Mireless. 


+ 80-1B-77-05-CB-C4 
是 


: 是 


PEL CELO ZI. 
DATERA 本 连接: 
RENED we ea S duis uid 


bau Bond lll d 04-82-28-55-82-34 
DHCP P sso s dsa 3 


图 3-29 ipconfig /all 命令 检查 网 卡 MAC 地 址 
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根据 目前 端口 安全 配置 ,端口 Fa0/24 只 允许 前 面 粘性 获得 的 安全 MAC 地 址 流量 通 


过 ,此 时 MAC 地 址 改变 ,会 在 该 端口 上 发 生 违规 行为 ,交换 机 端口 不 会 关闭 ,但 会 随即 在 
终端 窗口 中 显示 违规 通知 。 限 制 模式 违规 通知 示例 如 下 。 


01:00:55: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused 
by MAC address 04a2. 2855. 0234 on port FastEthernet0/24. 


此 时 在 PCb 上 使 用 ping 200. 100. 8. 2 命令 测试 网 络 连 通 性 ,应 发 现 不 能 ping 通 ， 


但 使 用 ping 200. 100. 8.4, 能 够 ping 通 PCc。 


在 交换 机 Switchl 上 使 用 show mac-address-table 命令 检查 当前 MAC 地 址 表 , 会 发 


Switch] # show  mac-address-table 
Mac Address Table 


此 处 省 略 部 分 显示 .… 

Vlan Mac Address Type 
All {fff. £fff. ffff STATIC 
100 0000. 0000. 0000 STATIC 
此 处 省 略 部 分 显示 … 


100 0015. 5886. bcec STATIC 
100 0015. 58d3. 0d5b STATIC 
Total Mac Addresses for this criterion: 23 


现 , 不 管 使 用 Mac MakeUp 如 何 改变 PCa 的 MAC 地 址 ,在 交换 机 MAC 地 址 表 中 Fa0/24 端 
口 对 应 的 都 只 有 一 条 粘性 获得 的 安全 MAC 地 址 。 


Ports 


CPU 
Drop 


Fa0/24 
Fa0/22 


为 对 比 使 用 端口 安全 前 后 效果 ,可 先 在 交换 机 Switch] 上 进行 下 面 所 示 操 作 停 用 


Switchl (config) # interface fa0/24 


Fa0/24 端口 安全 特性 。 然 后 使 用 Mac MakeUp 多 次 改变 PCb 的 MAC 地 址 后 再 检查 
MAC 地 址 表 , 此 时 会 发 现 多 条 Fa0/24 端口 的 MAC 地 址 条 目 , 重 复 使 用 Mac MakeUp 
修改 PCb 的 MAC 地 址 ,会 发 现 交 换 机 对 端口 对 应 的 MAC 地 址 条 目 不 再 有 限制 。 


Switchl(config-if) £ no switchport port-security 


Switchl (config-if) # end 
Switchl # show — mac-address-table 
Mac Address Table 


Vlan Mac Address Type Ports 

此 处 省 略 若干 显示 .… 

All {fff. ffff. ffff STATIC CPU 
100 0000. 0000. 0000 STATIC Drop 

此 处 省 略 若干 显示 .… 
100 0015. 5886. bcec DYNAMIC Fa0/24 
100 0015. 58d3. 0d5b DYNAMIC Fa0/22 
100 0422. 2855. 0234 DYNAMIC Fa0/24 
100 4246. df49. 8780 DYNAMIC Fa0/24 
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100 6e33. 7712. fcbc DYNAMIC 
Total Mac Addresses for this criterion: 26 


(3) 粘性 获得 安全 MAC 地 址 配置 


Fa0/24 


重新 启动 或 重 载 Switch] ,并 使 用 console 方式 参考 3. 5. 3 小 节 中 研发 部 接 人 交换 机 


端口 安全 配置 方案 对 其 进行 配置 。 配 置 命令 如 下 。 


Switch] (config) # vlan 200 
Switch] (config-vlan) # name res 
Switch] Cconfig-vlan) # exit 


Switchl(config) # interface range fa0/22 - 


Switch] (config-if-range) # switchport 
Switch] (config-if-range) # switchport 
Switch] (config-if-range) + switchport 
Switch] (config-if-range) # switchport 
Switch] (config-if-range) # switchport 
Switch] (config-if-range) + switchport 
Switch] (config-if-range) # switchport 
Switch] (config-if-range) # switchport 
Switch] (config-if-range) # switchport 
Switch] (config-if-range) # exit 


24 
mode access 
access vlan 200 
port-security 
port-security maximum 1 
port-security violation shutdown 
block unicast 
block multicast 
port-security aging 
port-security aging 


type inactivity 
time 3 


Switch] (config) # mac-address-table static 0000. 0000. 0000 vlan 200 drop 


Switch] (config-vlan) # exit 
Switch] (config) # errdisable recovery 
Switch] (config) # errdisable recovery 


cause psecure-violation 


interval 300 


配置 完成 后 ,在 PCa 上 CMD 命令 行 窗口 中 输入 ping 200. 100. 8. 3 命令 ,使 网 络 上 


产生 PCa 和 PCb 的 流量 ,此 时 应 能 pi 
中 使 用 show  port-security address 
机 的 安全 MAC 地 址 ,显示 结果 如 下 。 


Switch] 上 # show  port-security address 
Secure Mac Address Table 


ng 通 。 然 后 在 连接 到 交换 机 Switchl 的 终端 窗口 
命令 检查 交换 机 应 已 经 学 习 到 PCa、PCb 两 台 计 算 


Vlan Mac Address Type Ports Remaining Age 
(mins) 

200 0015. 58d3. 0d5b SecureDynamic Fa0/22 300 (D 

200 0015. 5886. bcec SecureDynamic Fa0/24 300 (D 

Total Addresses in System Cexcluding one mac per port? :0 


Max Addresses limit in System (excluding one mac per port) : 8192 


此 时 使 用 
在 终端 窗口 显示 如 下 所 示 违 规 通知 。 


Switchl# 


Mac MakeUp 修改 PCa 的 MAC 地 址 ,交换 机 会 自动 关闭 Fa0/24 端口 ,并 


00:50:42: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/24, putting Fa0/24 in 


err-disable state 
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00:50:42: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused 
by MAC address 0ab2. 562e. f78c on port FastEthernet0/24. 

00:50:43; % LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed 
state to down 

00:50:44; %LINK-3-UPDOWN: Interface FastEthernet0/24, changed state to down 


不 做 任何 操作 ,等 待 3 分 钟 后 ,由 于 配置 的 errdisable 计时 器 到 时 ,交换 机 端口 Fa0/24 
应 能 重新 启用 。errdisable 计时 器 到 时 端口 重启 显示 如 下 。 

00:55:03: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable 

state on Fa0/24 

00:55:07; %LINK-3-UPDOWN: Interface FastEthernet0/24, changed state to up 

00:55:08: % LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed 

state to up 

(D MAC 地 址 欺骗 攻防 模拟 

如 前 所 述 , 进 行 MAC 地 址 欺骗 攻击 前 ,恶意 用 户 首先 要 获取 被 攻击 者 的 MAC 地 
址 。 获 取 网 络 上 主机 MAC 地 址 的 方法 很 多 ,例如 可 以 使 用 网 络 监听 软件 通过 抓 取 数据 
包 的 方式 获得 。 本 实 训 操作 模拟 主机 PCa 上 的 恶意 用 户 对 PCb 进行 MAC 地 址 欺骗 
攻击 。 

在 PCa 上 运行 Wireshark 网 络 监听 软件 ,模拟 恶意 用 户 获取 网 络 上 主机 MAC 地 址 。 
Wireshark 网 络 监听 软件 运行 界面 如 图 3-30 所 示 。 


Qeeots qaqamasmx u 
—— 
inatit Protocol Info 
who has 20 


212 37. 58002 E ast 
227 41.829078 Broadcast 


:ec as 200.100. 
230 42.699412 ec Broadcast ARP = has 200.100.8.1? » 
233 43. 699496 Foxconn. 86:bc:ec Broadcast ARP who has 200.100.8.1? ~ 


a FANE ZU: Eyre o0 Wr; 160 bytes captu) 
5 Ethernet IT, src: roxconn.d3:0d:Sb (00:15:58:03:00:5b), Ost: Broadcast (ff:ff:ff:ff:ff:ff) (B 


08 06 00 01 
c8 64 08 03 
8 64 08 04 00 00 00 00 00 00 


0 00 00 00 00 00 


en 


@ Source Hardware Address (eth.sra) 6 b... | Packets: 242 Displayed: 42 Marked: 0 Dropped: 0 


图 3-30 Wireshark 主 窗口 


单 击 图 3-30 主 窗口 中 1 处 图 标 .打开 图 3-31 所 未 窗口 选择 要 监听 的 网 卡 。 单 击 要 监 
听 的 网 卡 列表 项 右 端 的 Start 按钮 ,启动 监听 。 

然后 在 图 3-30 所 示 窗 口中 2 处 输入 arp 过 滤 字 符 串 , 即 过 滤 只 显示 ARP 流量 。 单 
击 窗口 中 3 处 的 Apply 按钮 应 用 该 过 滤 字 符 串 , 则 图 3-30 中 4 处 子 窗口 中 将 只 显示 经 过 
PCa 网 卡 的 ARP 流量 。 


ii 计算 机 网 络 安全 与 管理 
na uÁ ES 


M Wireshark: Capture Interfaces 


Description. Jp Packets Packets/s 
[3] Intel(R) PRO/1000 PL Network Connection fe&0zblae:e618:5e00$7bc — 0 0 
f) Microsoft feB0:fd78fco9fücox4S4 0 


Ef) Ms Tunnel Interface Driver fesoz100:7ffffe 


3-831 Wireshark 监听 网 卡 窗口 


在 PCc 上 清空 ARP 缓存 ,然后 ping PCb, 由 于 ARP 请 求 采 用 广播 包 发 送 , 所 以 在 
PCa 上 使 用 Wireshark 也 能 从 网 卡 上 捕获 到 该 数据 包 , 并 从 中 获得 PCc 的 MAC 地 址 。 

在 图 3-30 中 4 处 子 窗口 中 选择 一 个 数据 包 , 则 在 图 中 6 处 子 窗 口中 会 显示 该 数据 包 
的 逐 层 封装 结构 。 

单 击 图 3-30 中 5 处 , 即 二 层 数 据 帧 封装 , 则 会 展开 该 数据 帧 ,能 看 到 该 数据 帧 源 
MAC 为 00:15:58:d3:0d:5b。 

使 用 Mac MakeUp 软件 对 配置 了 端口 安全 的 交换 机 模拟 进行 一 次 MAC 地 址 欺骗 
攻击 。 

首先 在 图 3-30 中 2 处 ,输入 抓 取 的 PCb 的 MAC 地 址 00:15:58:d3:0d:5b, 然 后 单 
ili Change 按钮 改变 PCa 主机 的 MAC 地 址 。 

此 时 ,由 于 配置 了 端口 安全 特性 ,因此 在 交换 机 终端 窗口 中 ,会 出 现 前 面 所 述 的 端口 
被 关闭 通知 ,并且 由 于 Fa0/24 端口 所 接 主机 的 MAC 地 址 与 已 有 的 Fa0/22 端口 相同 ， 
Fa0/24 端口 在 3 分 钟 errdisable 到 时 重启 后 马上 又 进入 errdisable 状态 ,依旧 不 能 启用 。 
因此 可 以 证 明 交 换 机 端口 安全 可 以 阻挡 MAC 地 址 欺骗 攻击 。 

模拟 在 没有 配置 端口 安全 的 情况 下 ,再 进行 一 次 MAC 地 址 欺骗 攻击 。 

进行 模拟 攻击 前 ,使 用 no switchport — port-security 关闭 交换 机 Switch] Fa0/24, 
Fa0/22 端口 上 端口 安全 特性 ,恢复 PCb 的 真实 MAC 地 址 ,保持 PCa、PCb、PCce 间 的 网 络 
连通 性 。 

使 PCc ARP 地 址 表 中 保存 主机 PCb 的 MAC 地 址 00:15:58:d3:0d:5b 与 IP 地 址 
200. 100. 8.4 间 正确 对 应 关系 ,在 PCc CMD 窗口 中 输入 arp-a 命令 ,应 能 看 到 该 对 应 

在 PCa 上 运行 Wireshark 软件 监听 ICMP 包 , 在 PCb CMD 窗口 中 输入 ping 200. 
100. 8.4, 由 于 ICMP 数据 流 为 单 播 流量 ,所 以 PCa 上 监听 不 到 PCc 与 PCb 的 ICMP 
流量 。 

使 用 Mac MakeUp 软件 修改 PCa 的 MAC 地 址 为 00:15:58:d3:0d:5b, 拔 掉 再 插 上 
PCb 的 网 线 , 此 时 检查 交换 机 MAC 地 址 表 会 出 现 如 下 所 示 现 象 , 即 交换 机 会 将 端口 
Fa0/24 主机 MAC 误 认为 是 00:15:58:d3:0d:5b。 


Switchl # show mac-address-table 
Mac Address Table 


Vlan Mac Address Type Ports 
All — fff. fff. ffff STATIC CPU 
此 处 省 略 了 部 分 显示 .…. 


200 0015. 58d3. 0d5b DYNAMIC 
Total Mac Addresses for this criterion; 21 
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在 PCa 上 再 次 使 用 Wireshark 进行 监听 。 并 在 PCc 上 CMD 窗口 中 输入 ping 
200. 100. 8.4, 由 于 交换 机 被 欺骗 ,所 以 此 时 应 能 在 PCa 上 收 到 交换 机 转发 来 的 ICMP 单 


播 流量 。 
7. 实 训 报告 


主机 MAC 地 址 | PCa: PCb: 


PCe: 


对 Switch] 模拟 网 络 中 心 接 入 交换 机 端口 安全 配置 后 ,填写 下 列 show 命令 输出 结果 ,并 解释 含义 。 


(1) show port-security interface fa0/24 命令 输出 


项 值 


"x 


Port Security: 


Port Status: 


Violation Mode; 


Aging Time: 


Aging Type: 


SecureStatic Address Aging: 


Maximum MAC Addresses: 


Total MAC Addresses: 


Configured MAC Addresses: 


Sticky MAC Addresses: 


Last Source Address: Vlan: 


Security Violation Count; 


(2) show port-security interface fa0/22 命令 输出 


项 值 


Port Status; 


Violation Mode; 


Aging Time: 


Aging Type: 


SecureStatic Address Aging: 


Maximum MAC Addresses: 


Total MAC Addresses: 


Configured MAC Addresses: 


Sticky MAC Addresses: 


Last Source Address; Vlan: 


Security Violation Count: 
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3.11.3 局 域 网 IEEE 802. 1x 配置 

1. 实 训 组 织 

实 训 学 时 : 50 分 钟 。 

学 生 分 组 : 2 人 /组 。 

2. 实 训 目 的 

通过 实 训 , 熟 练 掌握 局 域 网 IEEE 802. 1x 配置 基本 操作 ,理解 IEEE 802. 1x 工作 
原理 。 


3. 实 训 环境 

(1) 安装 有 Windows 系统 、 网 络 监听 软件 (Wireshark)、FreeRADIUS. net 软件 的 
PC, 每 组 3 台 。 

(2) Cisco 二 层 交换 机 ,每 组 1 台 。 

(3) UTP 直通 电缆 ,每 组 3 条 。 

(4) Console 电缆 ,每 组 1 条 。 

注意 保持 所 有 的 交换 机 、 路 由 器 为 出 厂 配置 。 


4. 实 训 准 备 
按照 图 3-32 所 示 拓 扑 连接 网 络 ,按照 表 3-32 配置 各 设备 及 主机 的 IP 地 址 ,并 参考 


3.2. 3 小 节 配置 启动 RADIUS 服务 器 。 
注意 : 这 里 为 了 降低 对 网 络 设备 要 求 , 所 有 设备 均 分 配 同 一 个 网 络 内 IP 地 址 。 
表 3-32 IEEE 802. 1x 实 训 IP 地 址 分 配 
网 络 接 口 IP/ 网 络 前 级 网 络 接 口 IP/ 网 络 前 级 
CZS O STEE VLAN GE aaa 58 128| Posa 200. 100. 8. 2/26 
接口 vlan99 
RAD-0-1-1 200. 100. 8. 30/26] PC-0-3-2 200. 100. 8. 3/26 


图 3-32 中 仅 配置 交换 机 Fa0/24 端口 和 主机 PC-0-3-1 使 用 IEEE 802. 1x 进行 身份 
验证 ,而 端口 Fa0/23 和 PC-0-3-2 不 做 IEEE 802. 1x 配置 , 仅 用 于 实 训 过 程 中 测试 网 络 连 
通 性 。 

d 接 入 交换 机 
C2960-0-3-1 


图 3-32 ”局域网 IEEE 802. 1x 配置 实 训 
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5. 实 训 内 容 
CD 局 域 网 交换 机 、 主 机 的 IEEE 802. 1x 配置 。 
(2) IEEE 802. 1x 协议 分 析 。 


6. 实 训 指导 

CD 检查 网 络 连通 性 以 及 RADIUS 服务 可 用 人性。 

在 配置 交换 机 的 IEEE 802. 1x 安全 特性 前 ,使 用 ping 命令 检查 网 络 连通 性 。 在 保证 
从 RADIUS 服务 器 可 以 成 功 ping 通 各 PC 的 基础 上 ,启动 RADIUS 服务 器 ,然后 使 用 
netstat 命令 检查 RADIUS 服务 器 是 否 已 经 打开 1812、1813 端口 监听 请 求 。 

(2) 局 域 网 接 入 交换 机 网 络 连 接 配置 如 下 。 


C2960-0-3-1 (config) # vlan 99 0 
C2960-0-3-1(config-vlan) # name mgmt 

C2960-0-3-1(config-vlan) # exit 

C2960-0-3-1 (config) # interface fa0/1 

C2960-0-3-1Cconfig-iD # switchport mode trunk [2] 
C2960-0-3-1(config-if) # switchport trunk native vlan 99 

00:39:19: % LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed 
state to down 

00:39:22; % LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed 
state to up 

C2960-0-3-1 (config) # interface vlan 99 [o] 
C2960-0-3-1Cconfig-iD # interface vlan 99 

C2960-0-3-1(config-if) i ip add 200.100.8.1  255.255.255.192 


其 中 : 

(D 创建 管理 VLAN, 

@ 将 接 入 交换 机 的 上 联 端 口 配置 为 干道 模式 ,并 配置 交换 机 的 本 征 VLAN 为 99。 
此 步 配 置 模拟 接 入 交换 机 上 联 汇聚 交换 机 。 

@ 为 管理 VLAN 虚 接 口 配 置 IP 地 址 。 

G) 局 域 网 交换 机 、 主 机 的 IEEE 802. 1x 配置 。 

在 局 域 网 交换 机 Fa0/24 端口 上 配置 启用 IEEE 802. 1x, 操 作 如 下 所 示 。 


C2960-0-3-1Cconfig) # aaa new-model 

C2960-0-3-1 (config) # aaa authentication dotlx default group radius 

C2960-0-3-1 (config) # radius-server host 200. 100. 8. 30 auth-port 1812 acct-port 1813 timeout 1 
retransmit 3 

C2960-0-3-1 (config) # radius-server key Net&Sec@sjzpe 

C2960-0-3-1 (config) # dotlx  system-auth-control 

C2960-0-3-1 (config) £ interface fa0/24 

C2960-0-3-1(config-if) + switchport mode access 

C2960-0-3-1(config-iD # dotlx port-control auto 

C2960-0-3-1(config-if) # dotlx pae authenticator 


其 中 : 
CD 启用 交换 机 AAA 安全 特性 。 


eoo eee eo 


7080 
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© NX IEEE 802. 1x 身份 验证 默认 方法 为 到 RADIUS 服务 器 上 进行 验证 ,如 果 失 
败 则 使 用 本 地 数据 库 进行 身份 验证 。 

@ 定义 RADIUS 服务 器 有 关 信 息 。 

团 定义 RADIUS 服务 器 与 客户 端的 共享 密 钥 。 

© 定义 交换 机 启用 IEEE 802. 1x 安全 特性 。 

定义 端口 工作 模式 为 接 人 模式 。 

© 配置 在 当前 端口 上 启用 IEEE 802. 1x, 并 使 端口 根据 交换 机 与 客户 端 之 间 的 
IEEE 802. 1x 认证 情况 迁移 到 已 授权 或 未 授权 状态 。 

® 定义 端口 启用 IEEE 802. 1x iA iE, 

(4) IEEE 802. 1x 配置 检查 及 调试 。 

首先 在 交换 机 上 使 用 debug dotlx all 命令 打开 交换 机 的 IEEE 802. 1x 身份 验证 调 
试 信息 。 

然后 在 PC-0-3-1 上 修改 网 络 连 接 属性 ,参考 3. 4. 2 小 节 启用 IEEE 802. 1x 身份 验证 
并 配置 身份 验证 参数 。 

此 时 如 果 将 PC-0-3-1 连接 到 交换 机 , 则 在 Windows 系统 托盘 的 网 络 连接 处 会 出 现 
提示 信息 ,如 图 3-33 所 示 。 

单 击 对 应 图 标 , 则 弹出 IEEE 802. 1x 身份 验证 窗口 ,如 图 3-34 所 示 。 在 该 窗口 中 输 
入 在 RADIUS 服务 器 上 已 经 注册 的 用 户 名 口令, 单 击 “ 确 定 ” 按 钮 ,进行 认证 。 如 果 身 份 
验证 成 功 , 则 网 络 连 接 进入 连通 状态 。 


RARU 
zac 
ERO 
Ni 需要 其 他 信息 以 连接 到 网 络 * [HERI PEE ED HERE RI D 
< 单 击 以 提供 其 他 信息 和 连接 
CE 取消 
id 
图 3-33 Windows 网 络 连 接 IEEE 802. 1x 图 3-34 Windows IEEE 802. 1x 身份 验证 窗口 
认证 提示 信息 


(5) 分 析 IEEE 802. 1x 协议。 

分 别 在 RADIUS 服务 器 和 PC0-3-1 上 启动 Wireshark 软件 , 抓 取 RADIUS 协议 报 文 
Al EAP 消息 。 注 意 可 在 Wireshark 数据 过 滤 窗 口中 输入 eap 来 过 滤 EAP 消息 ,如 图 3-35 
所 示 o 
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Filter: eap. 


国 Intel(R) PRO/1000 PL Network Connection: Capturing = Wireshark y 。 


Sar) 


File Edit View Go Capture Analyze Statistics Telephony Tools Help 
&aaga SAxe2a AATF ARRA >» 
+ Expression... Clear Apply 


No.. Time 
.53 19. 242668 - 


B 


5 Radius Protocol 


Length: 96 
& Attribute value 
EAP fragment 


Code: Access-challenge (11) 
Packet identifier: 0x19 (25) 


Pairs 


i 


5 Extensible Authentication Protocol 


Destination 
200.100.8.30 


5 Frame 54 (138 bytes on wire, 138 bytes captured) 
@ Ethernet II, Src: Foxconn 86:bc:ec (00:15:58:86:bc:ec), Dst: Cisco 78:b0:41 (00:| 


Internet Protocol, src: 200.100.8.30 (200.100.8.30), Dst: 200.100.8.1 (200.100.8 
& User Datagram Protocol, Src Port: radius (1812), Dst Port: sightline (1645) | 
IE 


Authenticator: 4491015289432C1742982F5942CCD16E 


E AVP: le40 t-EAP-Message(79) Last Segment [1] 


Protocol Info ^ 
RADIUS ACC . 
j 


Frame (138 bytes) |Reassembled EAP (38 bytes)| 


Qi Tex item 0, 38 bytes 


| Packets: 1907 Displayed: 22 ... | Profile: Default 
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图 3-35 RADIUS 内 封装 EAP 消息 示例 


配置 IEEE 802. 1x 后 ,使 用 show dotlx interface fa0/24 显示 交换 机 C2960-0-3-1 Fa0/24 端口 的 状态 


及 相应 含义 。 


状态 参数 


值 


a x 


PAE 


PortControl 


ControlDirection 


HostMode 


ReAuthentication 


分 析 使 用 Wireshark 抓 到 的 EAP 消息 ,回答 以 下 问题 。 


1, PC-0-3-1 与 交换 机 之 间 的 EAP 消息 ,外 层 封 装 是 什么 协议 ? 


2. PC-0-3-1 与 交换 机 之 间 进 行 身份 验证 分 别 使 用 了 下 列 哪些 EAP 消息 ? 按 出 现 顺序 将 其 填写 在 下 


表 中 。 


EAP 认证 阶段 


序 


号 


EAP 消息 类 型 


初始 化 认证 


开始 认证 


结束 网 络 连接 


131 
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y Dri 


3. RADIUS 服务 器 与 交换 机 间 的 EAP 消息 ,外 层 封装 是 什么 协议 ? 


4. 对 比 RADIUS 服务 器 与 交换 机 间 传 输 的 EAP 消息 ,以 及 PC-0-3-1 与 交换 机 间 传 输 的 EAP 消息 
的 时 间 ,内容 ,回答 问题 。 
CD 交换 机 是 否 对 PC-0-3-1 发 来 的 EAP 消息 进行 了 修改 后 发 送 给 RADIUS 服务 器 ? 


(2) PC-0-3-1 提交 的 用 户 名 口令 是 否 在 网 络 上 明文 传输 了 ? 


3.11.4 局 域 网 交换 机 访问 控制 
1. LIAR 
实 训 学 时 : 100 分 钟 。 
学 生 分 组 : 2 人 /组 。 


2. 实 训 目的 
通过 实 训 , 熟 练 掌握 局 域 网 交换 机 上 VACL、PACL 配置 操作 。 
3. 实 训 环境 


CD 安装 有 Windows 系统 、 网 络 监听 软件 (Wireshark)、 网 络 服务 软件 (例如 
XAMPP) 的 PC, 每 组 2 A. 

(2) Cisco 二 层 交 换 机 ,每 组 1 台 。 

(3) Cisco 三 层 交 换 机 ,每 组 1 台 。 

(4) UTP 直通 电缆 ,每 组 4 条 。 

(5) UTP 交叉 电缆 ,每 组 1 条 。 

(6) Console 电缆 ,每 组 2 条 。 

注意 保持 所 有 的 交换 机 为 出 厂 配置 。 


4. 实 训 准备 

按照 图 3-36 所 示 模 拟 公 司 总 部 局 域 网 简化 拓扑 示意 图 搭建 实 训 环境 。 图 中 C3550-0-3-1 
模拟 生产 部 ,市 场 部 、 研 发 部 网 络 的 汇聚 交换 机 ,C2960-0-3-1 分 别 模拟 生产 部 网 络 接 入 交 
换 机 和 总 部 2 号 楼 的 市 场 部 接 入 交换 机 和 研发 部 接 入 交换 机 。PCa、PCb 分 别 模拟 网 络 
中 的 PC 机 和 服务 器 。 按 照 图 中 下 方 表格 中 信息 完成 C3550-0-3-1 和 C2960-0-3-1 上 网 络 
连接 与 VLAN、 路 由 等 配置 。 


C3550-0-3-1 


Fa0/24 
Fa0/1 
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| vbAN 号 | vLAN 名 | IP 


网 络 | c2960-3-1 端 口 | 


| 3o | res&dev 


200.100.9.0/24 | 研发 部 | Fa0/9、 Fa0/10 | 


| 400 market | 200.100.10.0/25 | 市 场 部 


Fa0/15、 Fa0/16 | 


600 workshop | 200.100.11.0/24 厂房 “| Fa0/23 Fa0/24 


图 3-36 VACL 配置 实 训 示 例 


5. 实 训 内 容 

(1) VACL 配置 。 

(2) 基于 IP 访问 控制 列表 的 PACL 配置 。 

(3) 基于 MAC 扩展 访问 控制 列表 的 PACL 配置 。 


6. 实 训 指 导 
(1) VACL 配置 


用 C3550-0-3-1 模拟 生产 部 汇聚 交换 机 ,参考 如 下 所 示 配 置 基于 IP 访问 控制 列表 的 


C3550-0-3-1 (config) # ip access-list extended — eacl-vacl-60 
C3550-0-3-1(config-ext-nacl) # permit icmp any any 


C3550-0-3-l(config-ext-nacl) # permit ip any 200.100.11.0 0.0.0.31 
C3550-0-3-lCconfig-ext-nacD # permit ip 200.100.11.0 0.0.0.31 


VACL, JH C2960-0-3-1 模拟 生产 部 ,市 场 部 接 入 交换 机 ,用 主机 PCa 模拟 生产 部 前 置 机 ， 
PCb 分 别 模拟 生产 主机 和 市 场 部 普通 主机 测试 配置 的 VACL 能 否 正常 工作 。 注 意 将 
PCa、PCb 连接 到 正确 的 交换 机 端口 上 ,并 在 配置 访问 控制 列表 前 测试 网 络 连 通 性 ,以 及 
能 否 正常 访问 网 络 服务 (例如 使 用 XAMPP 提供 的 Web 服务 .FTP 服务 等 ) 。 


C3550-0-3-l(config-ext-nacl) 并 permit ip 200.100.11.0 0.0.0.255 200.100.11.0 0.0.0.255 


C3550-0-3-1(config-ext-nacl) + exit 

C3550-0-3-l(config) # vlan access-map vam-60 10 
C3550-0-3-(config-access-map)# match ip address eacl-vacl-60 
C3550-0-3-(Cconfig-access-map) # action forward 
C3550-0-3-(config-access-map) # exit 

C3550-0-3-l(config) # vlan access-map vam-60 20 
(C3550-0-3-(config-access-map) # match ip address sacl-vacl-60 
C3550-0-3-(config-access-map) # action drop 
C3550-0-3-Cconfig-access-map) # exit 


1 
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C3550-0-3-1 (config) # vlan filter vam-60 vlanrlist 60 
C3550-0-3-1 (config) # exit 


(2) SEF IP 访问 控制 列表 的 PACL 配置 

用 C3550-0-3-1 模拟 研发 部 汇聚 交换 机 ,用 C2960-0-3-1 模拟 研发 部 接 人 交换 机 , 参 
考 如 下 所 示 配 置 基于 IP 访问 控制 列表 的 PACL, 用 主机 PCa 模拟 研发 部 服务 器 和 研发 部 普 
通 主机 ,PCb 分 别 模拟 研发 部 普通 主机 和 市 场 部 普通 主机 测试 配置 的 PACL 能 否 正常 工作 。 
注意 将 PCa、PCb 连接 到 正确 的 交换 机 端口 上 ,并 在 配置 访问 控制 列表 前 测试 网 络 连 通 
性 ,以 及 能 否 正 常 访问 网 络 服务 (例如 使 用 XAMPP 提供 的 Web 服务 .FTP 服务 等 ) 。 


C2960-0-3-1(config) # ip access-list extended  eacl-pacl-30 

C2960-0-3-1Cconfig-ext-nacD # permit ip any 200.100.9.0 0.0.0.7 
C2960-0-3-1(config-ext-nacD # permit tcp any 200.100.9.0 0.0.0.255 established 
C2960-0-3-1(config-ext-nacl) # deny tep any 200.100.9.0 0.0.0.255 
C2960-0-3-1(config-ext-nacl) # deny udp any 200.100.9.0 0.0.0.255 eq  netbios-ns 
C2960-0-3-1(config-ext-nacl) # permit ip any any 

C2960-0-3-1(config-ext-nacl) # exit 

C2960-0-3-1(config) # interface range fa0/9 - 10 

C2960-0-3-1(config-if-range) # ip  access-group eacl-pacl-30 in 

€2960-0-3-1 (config-if-range) & 


用 C3550-0-3-1 模拟 市 场 部 汇聚 交换 机 ,用 C2960-0-3-1 模拟 市 场 部 接 和 人 交换 机 , 参 
考 如 下 所 示 配 置 基 于 IP 访问 控制 列表 的 PACL, 用 主机 PCa 模拟 市 场 部 服务 器 和 市 场 部 普 
通 主 机 ,PCb 分 别 模拟 市 场 部 普通 主机 和 研发 部 普通 主机 测试 配置 的 PACL 能 否 正常 工作 。 
注意 将 PCa、PCb 连接 到 正确 的 交换 机 端口 上 ,并 在 配置 访问 控制 列表 前 测试 网 络 连通 
性 ,以 及 能 否 正 常 访问 网 络 服务 (例如 使 用 XAMPP 提供 的 Web 服务 .FTP 服务 等 ) 。 


C2960-0-3-1(config) # ip access-list extended  eacl-pacl-40 

C2960-0-3-1Cconfig-ext-nacD permit ip any 200.100.10.0 0.0.0.7 
C2960-0-3-1(config-ext-nacl) # permit tcp any 200.100.10.0 0.0.0.127 established 
C2960-0-3-1(config-ext-nacD # deny tep any 200.100.10.0 0.0.0.127 
C2960-0-3-l1(config-ext-nacl) # deny udp any 200.100.10.0 0.0.0.127 eq  netbios-ns 
C2960-0-3-1Cconfig-ext-nacD # permit ip 200.100.10.0 0.0.0.7 any 
C2960-0-3-1(config-ext-nacl) # permit icmp any any 

C2960-0-3-1(config-ext-nacl) # deny ip 200. 100. 10.0 0.0.0.127 200.100.10.0 0.0. 
0.127 

C2960-0-3-1(config-ext-nacl) # permit ip any any 

C2960-0-3-1(config-ext-nacl) # exit 

C2960-0-3-l(config) # interface range fa0/15 - 16 

C2960-0-3-1(config-if-range) = ip  access-group eacl-pacl-40 in 

C2960-0-3-1 (config-if-range) # 


(3) 基于 MAC 扩展 访问 控制 列表 的 PACL 配置 

用 C2960-0-3-1 模拟 市 场 部 接 人 交换 机 ,将 PCa, PCb 连接 到 正确 的 交换 机 端口 上 。 
用 主机 PCa 模拟 网 络 中 普通 主机 ,在 PCb 上 使 用 类 似 Winarpattacker 软件 向 网 络 中 发 动 
ARP 洪水 攻击 。 观 察 PCa 上 被 攻击 后 现象 ,并 参考 如 下 配置 基于 MAC 扩展 访问 控制 列 
表 的 PACL, 过 滤 PCb 所 在 端口 发 出 的 ARP 流量 ,用 Wireshark 软件 观察 ARP 流量 


情况 。 
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C2960-0-3-1 (config) # mac access-list extended macl-pacl-arp 
C2960-0-3-l(config-ext-macD # deny host xxxx. xxxx. XXXX any 0x806 0x0 


C2960-0-3-1(config-ext-macl) # exit 
C2960-0-3-1(config) # interface fa0/15 


C2960-0-3-1(config-if) i mac  access-group macl-pacl-arp in 
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记录 实 训 网 络 连 接 配 置 情 况 : 


IP 地 址 /网 络 前 级 RX IP 


C2960-0-3-1 交换 机 端口 号 | 所 属 VLAN 


生产 部 前 置 机 


生产 部 普通 主机 


研发 部 服务 器 


研发 部 主机 


市 场 部 服务 器 


市 场 部 主机 


检测 内 容 


结果 测试 手段 /问题 分 析 


网 络 连接 完成 后 ,连通 性 测试 结果 : 


将 PCa 与 PCb 模拟 各 部 网 络 服务 器 与 普通 主机 接 
入 交换 机 ,它们 能 否 相 互 ping 通 ? 


38 D) 


不 通 口 


生产 部 主机 能 否 ping 通 其 他 市 场 部 、 研 发 部 网 关 ? 


通 口 


不 通 口 


启动 服务 器 程序 ,普通 主机 能 否 访 问 服务 器 ? 


可 以 口 


不 可 以 


配置 VACL 后 测试 结果 : 


生产 部 主机 能 和 否 访问 生产 部 前 置 机 上 的 网 络 服务 ? 


可 以 口 


不 可 以 


市 场 部 主机 能 和 否 访问 生产 部 前 置 机 上 的 网 络 服务 ? 


可 以 口 


不 可 以 


市 场 部 主机 能 和 否 访问 生产 部 主机 上 的 网 络 服务 ? 


可 以 口 


不 可 以 


配置 研发 部 PACL 后 测试 结果 : 


研发 部 主机 能 否 访问 研发 部 服务 器 上 的 网 络 服务 ? 


可 以 口 


不 可 以 


研发 部 主机 能 否 访问 研发 部 其 他 主机 上 的 网 络 服务 ? 


可 以 口 


不 可 以 


市 场 部 主机 能 否 访 问 研发 部 服务 器 上 的 网 络 服务 ? 


可 以 口 


不 可 以 


配置 市 场 部 PACL 后 测试 结果 : 


市 场 部 主机 能 否 访问 市 场 部 服务 器 上 的 网 络 服务 ? 


可 以 口 


不 可 以 


市 场 部 主机 能 否 访问 市 场 部 其 他 主机 上 的 网 络 服务 ? 


可 以 口 


不 可 以 


研发 部 主机 能 否 访问 市 场 部 服务 器 上 的 网 络 服务 ? 


可 以 口 


不 可 以 


配置 市 场 部 过 滤 MAC 的 PACL 后 测试 结果 : 


被 过 滤 的 市 场 部 主机 能 否 ping 通 市 场 部 服务 器 ? 


通 口 


使 用 Wireshark 观察 另 一 市 场 部 主机 能 否 接收 到 
被 过 滤 主 机 的 ARP 报 文 ? 


可 以 口 


使 用 Wireshark 观察 发 送 ARP 请 求 洪 水 攻击 数据 
包 的 内 容 。 观 察 是 否 网 络 中 所 有 主机 均 会 接收 并 
处 理 ARP 请 求 广播 ? 


所 有 主机 


pai 
m 
E 
此 
2 
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3.11.5 DHCP 攻击 、IP 地 址 欺骗 攻击 `.ARP 攻击 防护 
1. 实 训 组 织 
实 训 学 时 : 100 分 钟 。 
学 生 分 组 : 2 人 /组 。 


2. 实 训 目的 
通过 实 训 熟练 掌握 局 域 网 交换 机 上 DHCP 监听 、IPSG、ARP 绑 定 配置 操作 。 


3. 实 训 环境 

(1) 安装 有 Windows 系统 、 网 络 监听 软件 (Wireshark)、IP 欺骗 攻击 软件 (例如 
smurf) ARP 攻击 软件 (例如 winarpattacker) ,DHCP 服务 软件 的 PC, 每 组 3 一 4 台 。 

(2) Cisco 二 层 交 换 机 (建议 使 用 安装 了 12. 2(50)SE3 版 本 的 Cisco Catalyst 2960)， 
每 组 1 台 。 

(3) DHCP 服务 器 ,每 组 1 台 。 

(4) UTP 直通 电缆 ,每 组 3 一 4 条 。 

(5) Console 电缆 ,每 组 1 条 。 

注意 保持 所 有 的 交换 机 为 出 厂 配置 。 

4. 实 训 准 备 

按照 图 3-37 所 示 模 拟 公司 总 部 局 域 网 的 简化 拓扑 示意 图 搭建 实 训 环 境 。C2960-0-3-1 
模拟 市 场 部 网 络 所 连接 的 某 接 和 交换机。 为 简化 实 训 环境 要 求 ,省略 了 汇聚 交换 机 而 将 
DHCP 服务 器 直接 连接 到 C2960-0-3-1 的 Fa0/1 端口 。 


让 合法 
DHCP 服 务 器 


; i 
上 1 
i} 1 
| i 
1 
1 Fa0/24 
上 
i} 1 
| ee 1 
LL Fa0/1 xt 
E €2960-0-3-1 r 
li 
! Fa0/24 Fa0/9 i 
E Fa0/8 y 
11 被 改 击 [LL] Pes Pe [T] sia || 
H ` =S 主机 11 
prem ru Llo | I 
ih [ Ex] "E 
————————— ; 


图 3-37 DHCP/IP/ARP 攻击 防护 实 训 网 络 拓扑 


进行 实 训 前 需 完成 以 下 准备 工作 。 

(D 在 C2960-0-3-1 上 创建 市 场 部 所 在 VLAN300, 并 将 相应 端口 分 配 到 VLAN300 
中 。 注 意 ,所 有 端口 均 应 设置 为 接 入 模式 。 

(2) 为 图 3-37 中 合法 DHCP 服务 器 和 PCc 分 别 配置 IP 为 200. 100. 10. 10 和 
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200. 100. 10. 254 ,并 将 PCa、PCb 配置 为 自动 获得 TP 地 址 。 
(3) 按 如 下 要 求 , 在 DHCP 服务 器 上 配置 DHCP 服务 地 址 池 。 
网 络 地 址 范围 : 200. 100. 10. 0/25 
网 关 地 址 : 200. 100. 10. 1 
排除 地 址 : 200. 100. 10. 1 一 200. 100. 10.7 
(4) 按 如 下 要 求 , 在 攻击 者 主机 上 配置 DHCP 服务 地 址 池 。 
网 络 地 址 范围 : 200. 100. 10. 0/24 
网 关 地 址 : 200. 100. 10. 254 


5. 实 训 内 容 

(D DHCP 监听 配置 与 DHCP 攻击 防护 。 
(2) IPSG 配置 与 IP 欺骗 攻击 防护 。 

(3) DAI MHS ARP 攻击 防护 。 


6. 实 训 指导 

(D DHCP 监听 配置 与 DHCP 攻击 防护 

在 未 对 交换 机 进行 DHCP 监听 配置 前 ,启动 PCa 和 PCb, 并 在 PCa 和 PCb 运行 
Wireshark 监听 所 有 bootp 协议 报 文 , 检 查 攻 击 者 是 否 欺骗 PCa、PCb, 使 其 获得 了 错误 的 
IP 地 址 。 

在 C2960-0-3-1 上 配置 在 VLAN300 上 启用 DHCP 监听 , 除 Fa0/1 端口 配置 为 可 信 
端口 外 ,其 他 端口 都 配置 为 不 可 信 端 口 ,操作 如 下 。 

C2960-0-3-1(config) # ip dhep snooping 

C2960-0-3-1 (config) # ip dhep snooping vlan 300 

C2960-0-3-1 (config) # interface fa0/1 

C2960-0-3-1(config-if)# ip dhcp snooping trust 

C2960-0-3-1Cconfig-iD # end 

C2960-0-3-1# show ip dhcp snooping binding 


MacAddress IpAddress Lease(sec) Type VLAN Interface 
00:15:58:86:BC:EC 200. 100. 10.3 85849 dhcp-snooping 300 FastEthernet0/24 
F4:AA:3D:63:C7:59 200.100.10.4 85366 dhcp-snooping 300 FastEthernet0/8 


Total number of bindings: 2 


先 禁用 再 启用 PCa 和 PCb, 检 查 此 时 攻击 者 能 否 再 假冒 合法 DHCP 服务 器 欺骗 
PCa,PCb. 

(2) IPSG 配置 与 IP 欺骗 攻击 防护 

在 未 对 交换 机 C2960-0-3-1 配置 IPSG 前 ,重新 禁用 再 启用 PCa、PCb 网 络 连接 ,保证 
其 能 获得 正确 IP. 

在 PCc 上 运行 IP 欺骗 攻击 软件 (例如 smurf) 假 冒 PCb 地 址 发 送 ICMP 给 网 络 中 的 
PCa, 在 PCa,PCb fll PCc 上 运行 Wireshark 监测 smurf 攻击 数据 报 文 。 此 时 在 PCb 上 会 
收 到 PCa 发 送 的 ICMP 响应 报 文 , 虽 然 PCb 并 没有 ping PCa。 

在 交换 机 C2960-0-3-1 上 配置 端口 Fa0/2 一 Fa0/24 启用 IPSG。 同 时 配置 PCb hiii 
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态 IP-MAC- 端 口 绑 定 条 目 , 如 下 所 示 。 


C2960-0-3-l(config) # interface range fa0/2 - 24 [0] 
C2960-0-3-l(config-if-range) # ip verify source © 
此 处 省 略 部 分 显示 .… 
* Mar 1 02:22:29. 576: IP SOURCE _ GUARD: get per port/vlan ip binding. port: 
FastEthernet0/8, vlan: 300, number of bindings: 1. © 
此 处 省 略 部 分 显示 … 


C2960-0-3-1Cconfig-if-range) # exit 
C2960-0-3-1 (config) # ip source bind F4AA, 3D63. C759 vlan 300 200. 100. 10. 6 


interface fa0/8 [2] 
C2960-0-3-1 (config) # end 

C2960-0-3-1£ show ip source binding © 
MacAddress IpAddress Lease(sec) Type VLAN Interface 
00:15:58:86:BC:EC  200.100.10.4 81092 dhcp-snooping 300 FastEthernet0/24 
F4:AA:3D:63:C7:59 200.100.10.6 infinite static 300 FastEthernet0/8 


Total number of bindings: 2 


以 上 各 行 操作 配置 的 含义 如 下 。 

(D 使 用 interface range 命令 批量 配置 端口 。 

@ 在 端口 Fa0/2 一 Fa0/24 上 启用 IPSG。 

© 由 于 事先 配置 了 debug ip verify source packet, 所 以 在 端口 Fa0/8 上 启用 了 IPSG 
后 出 现 相 应 提示 。 

@ 配置 PCb 的 静态 绑 定 条 目 。 

© 配置 完成 后 检查 IPSG 绑 定 情 况 , 从 输出 结果 可 以 看 出 Fa0/8 的 绑 定 类 型 为 static 
即 静 态 绑 定 。 

完成 以 上 配置 后 ,再 次 由 PCe 运行 smurf 假冒 PCb 发 送 ICMP 给 PCa, 检 查 PCa 是 
否 收 到 该 数据 报 文 。 

将 PCb 当做 攻击 主机 ,运行 smurf 假冒 PCc 发 送 ICMP 请 求 报 文 给 PCa, 检 查 PCa 
是 否 收 到 该 数据 报 文 。 

(3) DAI 配置 与 ARP 攻击 防护 

进行 该 实 训 任 务 前 ,恢复 网 络 连 通 性 。 在 PCc 上 运行 ARP 攻击 软件 (例如 
Winarpattacker) ,以 PCb 为 攻击 对 象 发 动 IP 冲突 攻击 。 在 PCb 上 使 用 Wireshark 观察 
网 络 连接 是 否 受 到 了 攻击 影响 。 

停止 攻击 ,在 交换 机 C2960-0-3-1 端口 Fa0/2 一 Fa0/24 上 配置 基于 DHCP 监听 的 
DAI 和 ARP 流量 限制 ,如 下 所 示 。 


C2960-0-3-1 (config) # ip arp inspection vlan 300 [0] 
C2960-0-3-1 (config) # interface range fa0/2 - 24 

C2960-0-3-l(config-if-range) = ip arp inspection limit rate 50 Q 
C2960-0-3-1 (config) # end 

C2960-0-3-1# show ip arp inspection interfaces fa0/9 © 


Interface Trust State Rate (pps) Burst Interval 
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Fa0/9 Untrusted — 50 1 
C2960-0-3-1£ show ip arp inspection vlan 300 [2] 
Source Mac Validation : Disabled 
Destination Mac Validation  : Disabled 
IP Address Validation : Disabled 
Vlan Configuration Operation ACL Match Static ACL 
300 Enabled Active 
Vlan ACL Logging DHCP Logging Probe Logging 
300 Deny Deny Off 
* Mar 103;04:26.796; SW DAI4-PACKET RATE EXCEEDED: 65 packets received in 8 
milliseconds on Fa0/9. © 
* Mar 1 03:04:26.796: % PM-4-ERR_ DISABLE: arp-inspection error detected on Fa0/9, 
putting Fa0/9 in err-disable state © 
* Mar 1 03:04:26. 805; IP SOURCE GUARD: dhcp snooping vp state change, vlan; 300, 
port: FastEthernet0/9, add flag: 0. © 
* Mar 1 03: 04; 26. 813: % LINEPROTO-5-UPDOWN: Line protocol on Interface 
FastEthernet0/9, changed state to down ® 
*Mar 1 06:01:24, 802; %SW_DAI-4-DHCP_SNOOPING_DENY: 15 Invalid ARPs (Req) on 
Fa0/9, vlan 300. ([0000. 0000. 0001/200. 100. 10. 1/0000. 0000. 0000/200. 100. 10. 6/06: 01: 24 
UTC Mon Mar 1 1993» [9] 
* Mar 1 03:04:28. 809; % LINK-3-UPDOWN: Interface FastEthernet0/9, changed state to 
down 0 


以 上 各 行 命令 操作 的 含义 如 下 。 

(D 在 交换 机 上 VLAN300 上 启用 DAI, 

© 在 端口 Fa0/2 一 Fa0/24 上 启用 ARP 报 文 限 速 ,速率 限制 为 50pps。 

© 检查 端口 Fa0/9 上 的 DAI 配置 。 图 3-37 中 显示 Fa0/9 不 是 ARP 的 可 信和 端口 , 端 
口 限 速 ARP 报 文 速率 为 50pps。 

Gp 检查 交换 机 VLAN300 上 DAI 配置 ,可 以 发 现 VLAN300 上 已 经 启用 了 DAI, 

© 在 PCc 上 使 用 ARP 攻击 软件 发 出 ARP 攻击 报 文 ,交换 机 监测 到 端口 Fa0/9 上 有 
过 多 ARP 流量 。 

由 于 检测 到 端口 Fa0/9 上 有 过 多 流量 ,端口 被 down. 

CD 端口 被 down 后 ,端口 Fa0/9 上 DHCP 监听 的 状态 改变 ,这 个 改变 被 端口 上 的 
IPSG 监测 到 。 

® 端口 Fa0/9 链 路 协议 进入 down RÆ. 

端口 Fa0/9 上 配置 DAT 同时 监测 到 15 个 无 效 的 ARP 请 求 报 文 ,该 ARP 报 文 中 
使 用 的 源 IP 地 址 为 200. 100. 0.1, 源 MAC 地 址 为 0000. 0000. 0001 ,而 目标 MAC 地 址 为 
0000. 0000. 0000 ,目标 IP 地 址 为 200. 100. 10. 6。 

D 端口 连接 状态 转变 为 down. 

配置 完成 后 运行 DAI 检查 命令 ,检查 配置 情况 ,并 在 PCc 上 运行 ARP 攻击 软件 , 测 
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试 配置 是 否 起 到 作用 。 


在 交换 机 C2960-0-3-1 端口 Fa0/2 一 Fa 0/24 上 配置 基于 ARP ACL 的 DAI, 如 下 所 示 。 


C2960-0-3-1 (config) # no 
C2960-0-3-1 (config) # no 
C2960-0-3-1(config) # end 
C2960-0-3-1# clear 
C2960-0-3-1 (config) # arp access-list 
C2960-0-3-1 (config-arp-nacl) # permit ip 
C2960-0-3-1Cconfig-arp-nacD # permit ip 
C2960-0-3-1(config-arp-nacl) # permit ip 
C2960-0-3-1Cconfig-arp-nacD # exit 
C2960-0-3-1(config) # ip arp inspection 
C2960-0-3-l(config) # ip arp inspection 
C2960-0-3-1 (config) # exit 
C2960-0-3-1# show ip arp 


Source Mac Validation 
Destination Mac Validation 
IP Address Validation 


: Disabled 
: Disabled 
: Disabled 


Vian 


300 Enabled 


Configuration Operation 


Active 


Vian 


300 Deny 
* Mar 


ACL Logging 


Deny 


ACL Match 


testarp 


DHCP Logging 


ip dhcp snooping 
ip dhcp snooping vlan 300 


ip dhcp snooping binding * 
testarp 


host 200.100.10.6 mac host PCb 的 MAC 
host 200.100.10.4 mac host PCa 的 MAC 
host 200.100.10.3 mac host PCc 的 MAC 


filter testarp vlan 300 
vlan 300 


inspection vlan 300 


Static ACL 


Probe Logging 


Off 


e 


o eo 886680 


1 03:56:06. 848: %SW_DAL4-ACL_DENY: 1 Invalid ARPs (Req) on Fa0/9, vlan 300, 


([0015. 5886. bcec/169. 254. 104. 52/0000. 0000. 0000/200. 100. 10. 1/03;56:05 UTC Mon Mar 1 


1993] 


以 上 配置 操作 的 含义 如 下 。 
(D 关闭 交换 机 上 的 DACP 监听 。 


© 清除 已 有 的 所 有 DHCP 绑 定 表 条 目 。 
@ 创建 一 个 名 为 testarp 的 ARP ACL. 


@ 配置 PCb 的 IP-MAC 静态 绑 定 信 


息 


© 配置 PCa 的 IP-MAC 静态 绑 定 信息 。 
配置 PCc 的 IP-MAC 静态 绑 定 信息 。 
CD 将 ARP ACL 应 用 到 VLAN300 E. 


® 在 VLAN300 上 启用 DAI, 


0 


检查 VLAN300 上 的 DAI 配置 ,可 以 看 到 VLAN300 上 使 用 Static ACL, ACL 名 


为 testarp。 


© f£ PCc 上 发 动 ARP 攻击 ,此 时 在 被 攻击 主机 上 启用 Wireshark, 应 检测 不 到 ARP 


请 求 报 文 ,交换 机 报 ARP 请 求 报 文 错误 。 


配置 完成 后 运行 DAI 检查 命令 ,检查 配置 情况 ,并 在 PCc 上 运行 ARP 攻击 软件 , 测 
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试 配 置 是 否 起 到 作用 。 
7. 实 训 报告 


网 络 连 接 配 置 
主机 IP 地 址 E MAC 地 址 

PCc 
DHCP 服务 器 
(1) 用 PCe 假冒 DHCP 服务 器 ,在 PCa、PCb 上 运行 Wireshark 监听 bootp 协议 报 文 ,并 使 用 ipconfig/ 
renew 命令 重新 获得 IP. 
主机 IP 地 址 掩 码 网 关 IP DHCP 服务 器 MAC 地 址 
PCa 
PCb 
(2) 交换 机 启用 DHCP 监听 后 ,在 PCa、PCb 上 运行 Wireshark 监听 bootp 协议 报 文 ,并 使 用 ipconfig/ 
renew 命令 重新 获得 IP。 


主机 IP 地 址 掩 码 网 关 IP ”|DHCP 服务 器 MAC 地 址 
PCa 

PCb 

(3) 在 PCc 上 运行 smurf 攻击 PCa、PCb、 网 关 后 ,PCa、PCb、 网 关 的 网 络 连接 及 系统 状态 。 

主机 网 络 连 接 和 系统 状态 

PCa 

PCb 

网 关 


(4) 在 交换 机 上 的 静态 IPSG 配置 命令 。 
继续 用 PCc 运行 smurf 攻击 PCa、PCb、 网 关 ,PCa、PCb、 网 关 的 网 络 连接 及 系统 状态 。 


主机 网 络 连 接 和 系统 状态 
PCa 
PCb 
网 关 
(5) 在 PCc 上 运行 ARP 攻击 软件 攻击 PCa、PCb 后 ,PCa、PCb 的 ARP 缓存 情况 。 
主机 ARP 缓存 中 网 关 、PCa、PCb 的 MAC 
PCa 
PCb 
(6) 在 交换 机 上 配置 基于 DHCP 监听 的 DAI 后 ,PCa、PCb 的 ARP 缓存 情况 。 
主机 ARP 缓存 中 网 关 、PCa、PCb 的 MAC 
PCa 
PCb 
(7) 在 交换 机 上 配置 基于 ARP ACL 的 DAI 后 ,PCa、PCb 的 ARP 缓存 情况 。 
主机 ARP 缓存 中 网 关 、PCa、PCb 的 MAC 


PCa 
PCb 


网 络 地 址 转换 技术 


本 章 任务 : 根据 工程 任务 安全 需求 分 析 , 解 决 网 络 中 使 用 路 由 器 进行 内 外 网 地 址 转 
换 的 配置 问题 。 
必 备 知识 : (1) NAT. 
(2) PAT。 
(3) 端口 重 定向 。 
学 习 目 标 : 完成 模拟 公司 分 支 机 构 网 络 内 外 网 地 址 转换 配置 任务 ,解决 公司 内 网 地 
址 资源 不 足 的 问题 。 


4.1 模拟 公司 分 支 机 构 网 络 地 址 转换 任务 分 析 


由 表 2-10 所 示 模 拟 公 司 IP 地 址 分 配 情况 可 知 , 分 支 机构 B-1 可 用 公共 TP 地 址 仅 有 
62 个 ,但 随 着 该 分 支 机 构 业 务 发 展 ,网 络 不 断 扩大 ,所 分 配 公共 IP 地 址 出 现 不 足 。 为 解 
Ue IP 地 址 紧张 问题 ,模拟 公司 分 支 机 构 B-1 网 络 内 准备 使 用 私有 地 址 10. 0. 0. 0/24 替换 
原 网 络 中 的 公共 TP 地 址 。 但 使 用 私有 地 址 的 分 支 机 构 网 络 不 能 与 分 支 机构 以 外 的 网 络 
通信 ,为 满足 分 支 机 构 网 络 以 下 通信 要 求 ,必须 使 用 地 址 转换 技术 对 进出 分 支 机 构 网 络 的 
报 文 进行 地 址 转换 。 

COD 分 支 机 构 B-1 内 部 网 络 中 服务 器 Serl 向 外 网 同时 提供 Web、 邮 件 服务 ,同时 
1 台独 立 的 Web 服务 器 WebSerl 和 1 台独 立 的 邮件 服务 器 MailSerl 也 向 外 网 提供 
服务 。 

(2) 分 支 机 构 8 名 主管 的 办 公用 机 需要 使 用 访问 网 络 上 的 多 媒体 服务 。 

(3) 分 支 机 构 B-1 内 部 网 络 中 200 台 主 机 要 能 访问 Internet 资源 。 

(4) 分 支 机 构 B-1 在 其 网 络 内 部 模拟 公司 总 部 生产 网 拱 建 了 一 套 生产 系统 。 该 模拟 
生产 系统 在 分 支 机 构 网 络 内 使 用 了 与 总 部 相同 的 网 络 地 址 200. 100. 11. 0/24 ,但 该 生产 
系统 有 时 需要 访问 总 部 生产 网 下 载 部 分 生产 数据 用 于 分 析 研 究 。 

(5) 尽 可 能 节省 公共 IP 地 址 。 

表 4-1 显示 了 分 支 机 构 B-1 内 各 主机 使 用 TP 地 址 情况 。 
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R41 分 支 机 构 B-1 IP 地 址 分 配 情况 


序 号 内 网 主机 内 部 本 地 地 址 /网 络 前 组 网 关 地 址 
1 模拟 生产 系统 10. 0. 0. 0/28 10.0.0.14 
2 Serl 10. 0. 0. 17/28 10. 0. 0. 30 
3 WebSerl 10. 0. 0. 18/28 10. 0. 0. 30 
4 MailSerl 10. 0. 0. 19/28 10. 0. 0. 30 
5 普通 主机 10. 0. 2. 0/24 10. 0. 2. 254 
6 主管 用 机 10. 0. 3. 0/24 10. 0. 3. 254 


4.2 网 络 地 址 转换 简介 


使 用 私有 地 址 是 目前 解决 IPv4 地 址 不 足 问题 的 主要 手段 。 如 图 4-1 Bron ,企业 可 在 
各 自 网 络 内 使 用 私有 地 址 满足 网 络 内 主机 间 通 信和 需求 ,不 需 占 用 公共 IP 地 址 资源 。 
企业 1 边界 路 由 器 边界 路 由 器 企 


业 2 
10.0.0.0/24 =) vo» ==) 10.0.0.0/24 


图 4-1 重合 使 用 的 私有 地 址 


IETF RFC 1918 标准 定义 了 3 段 可 以 重 释 使 用 的 私有 地 址 空间 ,其 范围 如 表 4-2 所 示 。 
表 4-2 私有 地 址 范围 
地 址 范围 
10. 0. 0. 0—10. 255. 255. 255 


172. 16. 0. 0— 172. 31. 255. 255 
192. 168. 0. 0— 192. 168. 255. 255 


alm] >| $% 


24 (i M. 3 45 3 E BL 55 Hb Pd 46 38 fei t «ce I TI Aa A b hk JEE og E LT HE 
网 络 ,所 以 要 实现 网 络 间 通 信 ,必须 在 数据 报 文 被 送出 本 地 网 络 前 ,将 报 文 中 的 私有 地 址 
转换 为 公共 TP 地 址 , 即 进行 地 址 转换 。 
4.2.1 地 址 转换 工作 过 程 

地 址 转换 一 般 在 网 络 边界 由 网 络 地址 转换 设备 执行 ,如 配置 了 地 址 转换 功能 的 路 由 
器 或 防火 墙 。 地 址 转换 设备 使 用 “地 址 转换 表 ” 保 存 地 址 映射 关系 记录 ,并 根据 地 址 转换 
表 中 的 地 址 映射 关系 条 目 对 地 址 进行 转换 。 

图 4-2 显示 了 一 次 典型 的 网 络 地 址 转换 过 程 。 企 业内 部 网 络 中 的 主机 PCa 使 用 地 址 
10. 0. 0. 200 向 外 部 网 络 的 主机 PCb 发 出 数据 报 文 。 当 这 些 报 文 在 网 络 边界 碰 到 网 络 地 
址 转换 设备 时 ,网 络 地 址 转换 设备 根据 地 址 转换 表 中 的 地 址 映射 关系 ,将 数据 报 文中 PCa 
的 在 内 部 网 络 中 使 用 的 地 址 10. 0. 0. 200 转换 为 公共 IP 地 址 200. 100. 10. 200。 而 PCb 
返回 数据 报 文 给 200. 100. 10. 200 时 ,这 些 报 文 也 会 被 网 络 地 址 转换 设备 根据 地 址 转换 表 
进行 反 向 地 址 转换 ,即将 报 文中 PCa 的 地 址 200. 100. 10. 200 转换 为 10. 0. 0. 200。 
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地 址 转换 表 


内 部 本 地 地 址 | ”公共 地 址 
10.0.0.200 | 200.100.10.200 


网 络 边界 202.207.100.200/24 
10.0.0.200/24 


ca 加 DL. 外 部 


网 络 地 址 
转换 设备 


10.0.0.200: 2000 一 一 200.100.10.200: 2000 


10.0.0.200: 2000 一 一 200.100.10.200: 2000 
| 


图 4-2 NAT 处理 过 程 示 意图 


4.2.2 网 络 地 址 转换 类 型 及 术语 
从 不 同 角度 出 发 ,可 将 网 络 地 址 转换 分 为 多 种 类 型 。 表 4-3 显示 了 各 种 类 型 的 网 络 


地 址 转换 的 含义 。 
表 4-3 ”网络 地 址 转换 类 型 
分 类 网 络 地 址 转换 类 型 说 明 
对 本 地 网 络 内 主机 使 用 的 地 址 进行 转换 
内 部 地 址 转换 (NAT Inside) 这 种 地 址 转换 用 于 将 本 地 网 络 内 主机 使 用 的 私 
有 地 址 转换 为 公共 网 络 中 能 够 使 用 的 公共 地 址 
地 址 转换 对 象 对 外 部 网 络 主机 地 址 进行 转换 


这 种 地 址 转换 用 于 当 外 部 网 络 主机 使 用 的 公 
外 部 地 址 转换 (NAT Outside) 共 地 址 与 本 地 网 络 内 主机 地 址 相同 时 ,将 外 部 
网 络 主机 的 公共 地 址 转换 为 本 地 网 络 内 可 以 
标识 的 本 地 网 络 地 址 


将 一 个 IP 地 址 转换 为 另 一 个 IP 地 址 


网 络 地 址 转换 (Network Address 
Translation, NAT) 


地 址 映射 关系 ee oH KR (Pon Address | WT PME RW) TP JE wh 
Translation. PAT) 址 重 载 
JNERERUROUR | 前 态 地 址 转换 (Static) 手工 定义 地 址 映射 关系 
形成 方式 。 | 动态 地 址 转换 根据 规则 动态 生成 地 址 殴 射 关系 


网 络 地 址 转换 过 程 中 ,在 本 地 网 络 内 部 使 用 的 地 址 被 称 为 “本 地 地 址 ”(local) ,在 公共 
网 络 中 使 用 的 地 址 被 称 为 “全 局 地 址 ”(global) 。 
实际 使 用 的 网 络 地 址 转换 类 型 一 般 是 以 上 几 种 NAT 转换 的 组 合 。 表 4-4 显示 了 各 
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种 常用 组 合 地 址 转换 类 型 及 其 适用 对 象 。 N 
R44 各 种 常见 地 址 转换 类 型 


地 址 转换 类 型 说 OA 

根据 手工 配置 定义 ,将 内 部 IP 地 址 一 对 一 转换 为 公共 TP 地 址 。 适 用 于 需要 固定 IP 
和 端口 的 内 网 服务 器 

将 一 个 内 部 IP 地 址 动态 转换 为 一 个 公共 IP 地 址 。 但 所 用 公共 IP 地 址 是 从 指定 地 
内 部 动态 NAT| 址 池 (Pool) 中 选取 当前 可 用 的 最 小 IP 地址。 地址 转换 映射 关系 不 会 固定 存在 。 适 
用 于 不 需要 固定 IP 和 端口 的 内 网 主机 

将 多 个 内 部 IP 地 址 动态 转换 为 一 个 公共 IP 地 址 。 公 共 地 址 可 以 是 一 个 IP 地 址 ,也 
内 部 动态 PAT | 可 以 从 指定 地 址 池 中 动态 选择 当前 可 用 的 最 小 IP 地址。 适用 于 不 需要 固定 IP 和 端 
口 的 内 网 主机 

手工 指定 将 一 个 内 部 IP 地 址 和 内 部 端口 转换 为 某 个 公共 IP 地 址 及 某 个 公共 地 址 端 
口 。 适 用 于 使 用 一 个 公共 TP 地 址 对 外 提供 网 络 服务 的 内 网 多 台 服 务 器 以 及 其 他 需 
要 指定 端口 映射 关系 的 情况 

根据 手工 配置 地 址 映射 关系 定义 ,将 某 个 外 网 公共 IP 地 址 一 对 一 转换 为 本 地 IP 地 
址 。 适 用 于 重合 地 址 外 网 中 的 服务 器 

将 某 外 网 公共 IP 地 址 动态 转换 为 本 地 IP 地 址 。 但 本 地 IP 地 址 从 指定 地 址 池 中 动 
外 部 动态 NAT | 态 选 取 当 前 可 用 最 小 IP 地 址 ,地 址 映射 关系 不 会 固定 存在 。 适 用 于 重大 地 址 外 网 中 
的 主机 

手工 指定 将 一 个 外 部 网 络 IP 地 址 和 外 部 端口 转换 为 某 个 本 地 网 络 IP 地 址 及 某 个 本 
地 网 络 地 址 端口 。 适 用 于 重 又 地 址 外 网 中 共用 一 个 IP 地 址 的 多 个 服务 器 


内 部 静态 NAT 


内 部 端口 地 址 
重 定向 


外 部 静态 NAT 


外 部 静态 PAT 


1. PAT 工作 原理 

在 网 络 边界 上 一 对 一 进行 IP 地 址 转换 ,需要 较 多 的 公共 IP 地 址 资源 。 例 如 ,如 果 企 
业内 部 网 络 对 外 连接 并 发 地 址 数 需求 为 16, 即 同时 会 有 16 个 内 部 IP 地 址 访问 外 部 网 
络 , 则 该 企业 就 需要 拥有 16 个 以 上 的 公共 IP 地 址 来 满足 通信 需求 。 

与 NAT 相 比 ,PAT 技术 可 以 将 多 个 内 部 网 络 的 私有 IP 地 址 映射 到 一 个 或 多 个 公共 
IP 地 址 上 ,来 减少 对 公共 IP 地 址 的 需求 。 图 4-3 为 典型 PAT 工作 过 程 示 意图 ,多 个 内 部 
网 络 的 本 地 地 址 被 转换 为 一 个 公共 IP 地 址 。 进 行 地 址 转换 时 ,一般 网 络 地 址 转换 设备 会 
尽量 使 用 与 本 地 地 址 端口 相同 的 全 局 地 址 端口 ,但 如 果 相 同 的 端口 已 被 占用 , 则 会 选择 最 
小 的 可 用 端口 作为 全 局 地 址 端口 。 

地 址 转换 表 


内 部 本 地 地 址 | 内 部 本 地 地 址 端口 | 内 部 全 局 地 址 | 内 部 全 局 地 址 端口 
10. 0. 0. 200 2000 2000 
10. 0. 0. 100 1024 1024 


200. 100. 10. 200 
10. 0. 0. 101 1024 1025 


图 4-3 PAT 转换 示意 图 
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理论 上 ,每 个 公共 TP 地 址 可 以 提供 65536 个 端口 用 于 PAT, 但 由 于 有 些 端口 被 保留 
不 能 使 用 ,所 以 实际 一 个 公共 IP 仅 能 提供 4000 个 左右 主机 使 用 PAT。 

由 于 使 用 PAT 不 能 保证 全 局 地 址 端口 与 原 地 址 端口 相同 ,所 以 对 于 需要 固定 地 址 
端口 的 服务 器 而 言 , 如 果 要 使 用 PAT, 就 必须 手工 指定 其 地 址 转换 中 原 端口 与 全 局 端口 
间 的 映射 关系 , 即 端口 重 定向 。 


2. 外 部 地 址 转换 
外 部 地 址 转换 用 于 图 4-4 所 示 网 络 连接 情况 。 出 于 某 些 原 因 ,网络 1 在 内 部 使 用 了 
与 网 络 2 相同 的 网 络 地 址 200. 100. 10. 0/24 ,虽然 网 络 1 在 外 部 使 用 了 公共 网 络 地 址 
202. 207. 120. 0/24, 但 如 果 直 接 将 网 络 1 与 网 络 2 连接 起 来 ,网 络 1 端的 主机 将 无 法 区 分 
通信 对 象 属于 本 网 络 ,还 是 属于 网 络 2。 在 不 能 通过 重新 规划 IP 地 址 解决 该 问题 的 时 
候 , 外 部 地 址 转换 就 可 以 作为 解决 该 问题 的 蔡 代 方案 。 
外 部 地 址 转换 的 工作 过 程 如 图 4-4 所 示 ,通过 在 边界 路 由 器 RI 上 将 数据 报 文中 网 络 
2 的 主机 地 址 变换 成 另 一 个 网 络 192. 168. 10. 0/24 中 的 地 址 ,使 得 网 络 1 主机 可 以 使 用 
192, 168. 10. 0/24 的 地 址 访问 网 络 2 内 的 主机 。 
地 址 转换 表 
内 部 本 地 地 址 | 内 部 全 局 地 址 | 外 部 全 局 地 址 | 外 部 本 地 地 址 
200.100.10.0/24 | 200.207.120.0/24 


200.100.10.0/24 | 192.168.10.0/24 


边界 路 由 器 R1 


网 络 2 
200.100.10.0/24 


网 络 1 
200.100.10.0/24 


200.100.10.200 200.100.10.200 
一 


1 
二 
+ 
| ! 
1 
| | 202.100.10.200: 80 | 202.207.120.200: 2000| data 
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192.168.10.200: 80 | 202.100.10.200: 2000 | data 


注意 : 在 此 地 址 转换 过 程 中 ,相对 于 边界 路 由 器 R1 的 本 地 网 络 ,网 络 2 主机 使 用 的 
地 址 200. 100. 10. 0/24 是 公共 IP 地址, 并且 是 外 部 网 络 的 地 址 ,所 以 被 称 为 “外 部 全 局 地 
址 ”(Outside Global Address); 而 由 边界 路 由 器 转换 后 的 地 址 192. 168. 10. 0/24 由 于 在 
本 地 使 用 ,所 以 被 称 为 “外 部 本 地 地 址 ”(Outside Local Address) 。 

4.2.3 地 址 转换 与 访问 控制 

图 4-5 显示 了 路 由 器 进行 访问 控制 ,地址 转换 和 路 由 处 理 的 先后 顺序 。 

当 数 据 报 文 从 路 由 器 的 内 部 接口 入 站 ,然后 从 外 部 接口 出 站 时 ,路 由 器 处 理 顺 序 如 下 。 

(1) 对 入 站 报 文 进行 人 站 访问 控制 处 理 。 

(2) 为 通过 入 站 访问 控制 的 报 文选 择 合适 的 路 由 。 
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| 外 部 
n -G 接口 2 
' 
内 部 接口 1 外 部 接口 
入 站 ACL |i | 路 由 处 理 | | 地 址 转换 | | 出 站 ACL 


1 
1 1 
1 1 
1 1 
1 1 
I 1 
I 1 
数据 报 文 m I - a =o 
1 1 
出 站 ACL i ! 入 站 ACL 
| i 
MEE [7731 
o 一 T T 数据 报 文 
I 1 
T T 


图 4-5 访问 控制 ,地址 转换 及 路 由 顺序 


(3) 对 于 被 路 由 到 路 由 器 外 部 接口 的 报 文 ,在 将 其 从 外 部 接口 送出 前 , 先 对 数据 报 文 
进行 地 址 转换 。 

(4) 转换 地 址 后 的 数据 报 文 ,只 有 通过 出 站 访问 控制 处 理 后 ,才能 真正 被 送出 外 部 
接口 。 

当 数 据 报 文 从 路 由 器 的 外 部 接口 入 站 ,然后 从 内 部 接口 出 站 时 ,路 由 器 处 理 顺序 
如 下 。 

(1) 对 入 站 报 文 进行 人 站 访问 控制 处 理 。 

(2) 对 通过 入 站 访问 控制 的 报 文 进行 地 址 转换 。 

(3) 为 地 址 转换 后 的 数据 报 文选 择 合适 的 路 由 。 

(4) 对 路 由 到 内 部 接口 的 数据 报 文 进行 出 站 访问 控制 处 理 。 
4.2.4 网 络 地 址 转换 存在 的 问题 

网 络 设备 在 进行 网 络 地 址 转换 时 ,一般 只 对 IP, TCP, UDP 报头 中 的 TP 地 址 .端口 进 
行 修改 ,所 以 对 以 下 协议 报 文 进行 网 络 地 址 转换 时 会 出 现 问 题 。 

(1) 如 果 应 用 协议 在 报 文中 嵌入 了 IP 地 址 和 端口 号 等 信息 ,但 网 络 地 址 转换 设备 无 
法 将 这 些 IP 地 址 .端口 号 一 并 进行 转换 , 则 有 可 能 导致 相关 应 用 工作 失败 。 

例如 ,DNS 响应 信息 .DNS 区 域 记录 中 有 可 能 会 包含 某 个 域名 对 应 的 私有 TP 地 址 ， 
由 于 网 络 地 址 转换 一 般 不 会 对 这 些 信 息 进 行 转换 ,所 以 得 到 该 DNS 响应 信息 的 主机 将 不 
能 利用 其 中 的 IP 地 址 进行 通信 。 类 似 的 还 有 路 由 选择 更 新 .IGMP 组 播 消息 .DHCP 报 
文 . BOOTP 报 文 .NetBIOS 应 用 报 文 .一 些 多 媒体 应 用 报 文 .SQL 服务 器 连接 等 。 

(2) 地 址 转换 不 能 对 加 密 过 的 报 文 头 或 报 文 进行 ,例如 IPSec VPN. 

(3) ICMP 报 文 中 没有 端口 号 ,因此 需要 使 用 ICMP 报 文中 的 其 他 信息 来 区 分 PAT 
会 话 连接 。 但 因为 使 用 哪些 信息 来 区 分 PAT 还 没有 相应 标准 和 协议 定义 ,所 以 不 能 保 
证 在 不 同 品牌 网 络 设备 在 配置 了 PAT 后 ,能 够 正常 使 用 ICMP. 
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(4) 有 些 网 络 地 址 转换 设备 不 支持 对 组 播 地 址 进行 地 址 转换 。 

Cisco 网 络 设备 能 对 某 些 协议 报 文中 嵌入 的 TP. 地址、 端口 号 进行 地 址 转换 ,这 被 称 为 
应 用 层 网 关 地 址 转换 支持 。 但 并 不 是 所 有 嵌入 IP 地 址 、 端 口号 的 应 用 协议 报 文 都 能 得 到 
网 络 设备 地 址 转换 支持 。 


4.3 ”路 由 器 网 络 地 址 转换 配置 


4.3.1 静态 NAT 配置 

如 果 某 网 络 使 用 私有 地 址 ,但 网 络 中 的 服务 器 又 要 对 外 提供 网 络 服务 , 则 最 简单 的 实 
现 方法 就 是 为 这 些 服 务 器 配置 静态 内 部 NAT 转换 。 

在 Cisco IOS 路 由 器 上 配置 静态 NAT 转换 的 操作 步骤 如 表 4-5 所 示 。 首 先 , 定 义 内 
部 地 址 转换 的 映射 关系 , 即 定 义 将 内 网 服务 器 IP 地 址 转换 为 哪个 公共 地 址 ; 然后 ,定义 
路 由 器 哪些 接口 连接 内 部 网 络 , 哪 些 接口 连接 外 部 网 络 , 路 由 器 只 在 定义 为 内 部 或 外 部 的 
接口 进行 地 址 转换 ; 最 后 ,可 以 对 地 址 转换 进行 检查 ,确保 配置 正确 性 。 


表 4-5 NAT 转换 基本 配置 步骤 


序 号 Wood 相关 命令 是 否 必 要 

步骤 1 定义 地 址 转换 映射 关系 ip nat 必要 

步骤 2 | 定义 路 由 器 地 址 转换 的 内 部 接口 ip nat inside 必要 

步骤 3 定义 路 由 器 地 址 转换 的 外 部 接口 ip nat outside 必要 
show ip mat translations 

步骤 4 检查 地 址 转换 配置 debug ip nat 可 选 
clear ip nat translation 


1. 定义 内 部 地 址 转换 映射 关系 
在 Cisco IOS 路 由 器 上 ,定义 一 对 一 内 部 地 址 转换 映射 关系 的 操作 为 在 全 局 模式 下 
输入 : 


ip nat inside source static 内 部 本 地 地 址 {内 部 全 局 地 址 | interface 接口 号 } 


该 命令 用 于 配置 一 个 内 部 地 址 转换 ,将 参数 “内 部 本 地 地 址 ”指定 的 本 地 地 址 转换 为 
参数 “内 部 全 局 地 址 ”指定 的 公共 地 址 或 参数 “接口 号 ”指定 的 某 个 接口 的 地 址 。 

关键 字 source 表示 要 对 报 文中 的 源 地 址 进行 转换 。 

关键 字 static 表示 地 址 转换 是 一 对 一 的 静态 地 址 转换 。 

例如 , 若 图 4-2 中 PCa 为 内 网 服务 器 ,其 内 网 地 址 为 10. 0. 0. 200 , 现 要 从 公 网 使 用 IP 
地 址 200. 100. 10. 200 访问 该 服务 器 , 则 定义 这 一 地 址 转换 映射 关系 的 命令 为 : 


Router(config) # ip nat inside source static 10.0.0.200 200. 100. 10. 200 


另外 ,如 果 一 个 网 络 内 存在 多 台 服 务 器 需要 进行 一 对 一 地 址 转换 , 则 可 以 将 这 些 服务 
器 尽 可 能 安排 一 个 网 络 内 ,然后 在 Cisco IOS 路 由 器 上 使 用 如 下 命令 。 
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ip nat inside source static network 内 部 本 地 网 络 地 址 内 部 全 局 网 络 地 址 { 网 络 前 

A | 子 网 掩 码 } 

该 命令 可 以 将 一 个 网 络 的 IP 地 址 一 对 一 转换 为 另 一 个 网 络 的 IP 地址 。 

例如 ,如 果 要 将 网 络 10. 0. 0. 0/24 中 所 有 IP 地 址 一 对 一 转换 为 200. 100. 10. 0/24, 
则 可 以 如 下 定义 地 址 映射 关系 。 


Router(config) # ip nat inside source static network 10.0.0.0 200.100.10.0 /24 


路 由 器 根据 该 命令 进行 地 址 转换 时 ,将 只 改变 本 地 地 址 的 网 络 号 部 分 ,本 地 地 址 
10. 0. 0. 2 转换 后 为 200. 100. 10. 2 ,本 地 地 址 10. 0. 0. 11 转换 后 为 200. 100. 10.11. 


2. 定义 路 由 器 地 址 转换 的 内 部 、 外 部 接口 

要 让 路 由 器 能 正确 进行 地 址 转换 ,还 需 定义 路 由 器 哪些 接口 连接 地 址 转换 的 内 部 网 
络 , 哪 些 接口 连接 地 址 转换 的 外 部 网 络 。 

配置 接口 是 连接 内 部 网 络 的 操作 为 在 该 接口 配置 模式 下 输入 : 


ip nat inside 
配置 接口 是 连接 外 部 网 络 的 操作 为 在 该 接口 配置 模式 下 输入 : 


ip nat outside 


3. 检查 地 址 转换 配置 

(1) 使 用 show ip nat translations 命令 检查 地 址 转换 配置 

在 Cisco IOS 路 由 器 上 ,可 以 使 用 show ip nat translations 命令 来 检查 地 址 转换 
配置 ,该 命令 输出 结果 如 下 。 

Routerl # show ip nat translations 


Pro Inside global Inside local Outside local Outside global 
200. 100. 10. 200 10. 0. 0. 200 = T 


该 输出 结果 显示 “地 址 转换 表 ” 中 保存 了 一 条 内 部 地 址 转换 映射 信息 ,从 内 部 本 地 地 
址 10. 0. 0. 200 转换 为 内 部 全 局 地 址 200. 100. 10. 200。 

(2) 使 用 debug ip nat 命令 跟踪 地 址 转换 

在 Cisco IOS 路 由 器 上 ,也 可 以 使 用 debug ip nat 命令 来 打开 对 地 址 转换 的 跟踪 
显示 。 在 打开 地 址 转换 跟踪 显示 后 ,只 要 有 地 址 转换 发 生 ,路 由 器 屏幕 上 就 会 显示 地 址 转 
换 过 程 的 详细 信息 ,打开 地 址 转换 跟踪 显示 配置 的 操作 及 路 由 器 跟踪 到 的 地 址 转换 过 程 
信息 如 下 。 

Routerl# debug ip nat 

IP NAT debugging is on 

Routerl & 

* Mar 100:15:37.747; NAT * ; i: icmp (10.0.0. 200, 3286) -> (200.100.0.1. 3286) [38] (D 

* Mar 100:;15:37. 747; NAT * : s=10. 0. 0. 200—200. 100. 10. 200, d=200. 100. 0. 1 [38] ®© 


* Mar 1 00:15:37.887; NAT * : o: icmp (200. 100.0. 1, 3286) -> (200. 100. 10. 200, 3286) [38] @ 
* Mar 100:;15:37.887; NAT * : s—200. 100. 0. 1, d=200. 100. 10. 200->10. 0. 0. 200 [38] (D 


< 


P 
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其 中 : 

CD 内 网 主机 10. 0. 0. 200 向 外 网 主机 200. 100. 0. 1 KIX ICMP ECHO RX. 

C) 路 由 器 将 内 网 主机 报 文中 源 地 址 10. 0. 0. 200 转换 为 公共 地 址 200. 100. 10. 200. 

© 外 网 主机 200. 100. 0. 1 返回 ICMP 报 文 给 内 网 主机 200. 100. 10. 200. 

CD 路 由 器 将 外 网 ICMP 返回 报 文中 的 目的 地 址 200. 100. 10. 200 转换 为 内 网 地 址 
10. 0. 0. 200。 


4. 清除 地 址 转换 表 缓 存 

在 检查 地 址 转换 配置 过 程 中 ,可 以 先 使 用 如 下 命令 来 清除 路 由 器 * 地 址 转换 表 ” 中 组 
存 的 地 址 映射 关系 条 目 。 

clear ip nat translation * 
或 者 

clear ip nat translation { inside | outside ) 

使 用 * * ”关键 字 , 将 清除 所 有 地 址 转换 表 中 动态 映射 关系 条 目 , 使 用 inside 或 
outside 关键 字 , 则 可 以 选择 性 地 只 清除 某 个 方向 的 地 址 转换 条 目 。 
4.3.2 动态 NAT 配置 

企业 内 网 主机 由 于 不 需要 对 外 提供 网 络 服务 ,因而 不 需要 固定 的 公共 IP 和 端口 地 
址 ,所 以 可 以 选用 动态 NAT 转换 或 者 动态 PAT 作为 地 址 转换 类 型 。 

在 Cisco IOS 路 由 器 上 配置 动态 NAT 的 操作 步骤 如 表 4-6 所 示 。 相 对 静态 NAT 转 
换 , 动 态 NAT 转换 增加 了 两 个 用 于 定义 地 址 转换 范围 的 步骤 : 四 使 用 ip nat pool 命令 定 
义 一 个 用 于 地 址 转换 的 地 址 池 ; 四 使 用 ip access-list 或 者 access-list 命令 定义 一 个 访问 
控制 列表 ,只 有 该 列表 中 允许 的 流量 才 会 被 进行 地 址 转换 。 

另外 ,定义 动态 NAT 地 址 转换 映射 关系 条 目的 命令 语法 与 静态 NAT 不 同 。 

表 4-6 动态 NAT 转换 基本 配置 步骤 


序 号 操 作 相关 命令 是 否 必要 
步骤 1 | 定义 地 址 池 ip nat pool 必要 
步骤 2 | 创建 一 个 用 于 限制 被 转换 地 址 范围 的 ACL |ip _ access-list access-list 必要 
步骤 3 | 定义 地 址 转换 映射 关系 条 目 ip nat 必要 
步骤 4 | 定义 路 由 器 地 址 转换 的 内 部 接口 ip nat inside 必要 
步骤 5 | 定义 路 由 器 地 址 转换 的 外 部 接口 ip mat outside 必要 
步骤 6 | 检查 地 址 转换 配置 show ip nat translations 可 选 
debug ip nat 
1. 定义 地 址 池 


在 Cisco IOS 路 由 器 上 ,定义 地 址 池 的 操作 为 在 全 局 模式 下 输入 : 


ip nat pool 地 址 池 名 ”起 始 全 地 址 ”结束 下 地 址 { netmask 子 网 掩 码 | prefix- 
length ”网 络 前 级 长 度 } 
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参数 “地 址 池 名 ”用 于 给 出 该 地 址 池 的 唯一 标识 。 

参数 “起 始 IP 地 址 ”“ 结 束 TP 地 址 ”用 于 定义 地 址 池 中 IP 地 址 的 起 止 范围 。 

关键 字 netmask、prefix-length 及 其 后 参数 用 于 给 出 起 止 IP 地 址 所 在 网 络 的 子 网 掩 
人 码 或 网 络 前 级 。 

例如 , 若 企业 租用 的 公共 TP 地 址 范围 为 200. 100. 10. 0 一 200. 100. 10. 15 , 子 网 掩 码 
为 255. 255. 255. 240, 则 可 如 下 定义 地 址 池 。 

Routerl (config) # ip nat pool natdp-in 200. 100. 10. 0 200. 100. 10. 15 netmask 255. 255. 255. 240 

该 命令 创建 一 个 名 为 natdp-in 的 地 址 池 , 该 地 址 池 地 址 范围 为 200. 100. 10. 0 一 
200. 100. 10. 15 ,此 段 地 址 所 在 网 络 的 子 网 掩 码 为 255. 255. 255. 240 。 

2. 定义 内 部 动态 NAT 地 址 映射 关系 条 目 

在 Cisco IOS 路 由 器 上 定义 内 部 动态 NAT 地 址 映射 关系 的 操作 为 在 全 局 模式 下 
输入 : 

ip nat inside source list ACL 名 pool 全 局 地 址 池 名 

该 命令 中 ,参数 “ACL 名 ”将 指定 一 个 标准 访问 控制 列表 ,只 有 被 该 标准 访问 控制 列 
表 允 许 的 流量 , 才 会 被 进行 内 部 动态 NAT 处 理 。 

参数 “全 局 地 址 池 名 ”用 于 将 前 面 定义 的 全 局 地 址 池 与 该 地 址 映射 绑 定 在 一 起 。 

例如 ,图 4-6 所 示 为 企业 内 部 网 络 使 用 的 IP 地 址 为 10. 0. 0. 0/24 ,企业 租用 的 公共 
IP 地 址 范围 是 200. 100. 10. 0 一 200. 100. 10. 15, 则 在 边界 路 由 器 上 配置 动态 NAT 的 操 
作 如 下 。 


1 
内 部 i 外 部 200.100.10.0-200.100.10.15 


边界 路 由 器 
图 4.6 动态 NAT 网 络 


Routerl(config) # ip nat pool p-natin 200.100.10.0 200.100.10.15 netmask 255, 255, 255. 240 
Routerl(config) # ip access-list standard  sacl-dnatin 

Routerl Cconfig-std-nacl) # permit 10.0.0.0 0.0.0. 255 

Routerl (config-std-nacl) # exit 

Routerl(config) # ip nat inside source list sacl-dnatin pool p-natin 
Routerl(config-iD # interface fa0/0 

Routerl(config-iD = ip nat inside 

Routerl(config-iD # interface s1/0 

Routerl(config-iD = ip nat outside 

Routerl(config-i) # end 

Routerl£ show ip nat translations 

Pro Inside global Inside local Outside local Outside global 
---  200.100.10.1 10. 0. 0. 200 =o == 


e 


A52 


天 
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4.3.3 动态 PAT 配 置 


在 Cisco IOS 路 由 器 上 配置 动态 PAT 的 操作 步骤 与 配置 动态 NAT 非常 相似 ,如 
K 4-7 所 示 。 
R47 PAT 基本 配置 步骤 


序 号 操 作 相关 命令 是 否 必要 
步骤 1 | 定义 地 址 池 ip nat pool 根据 网 络 实际 需求 确定 
创建 一 个 用 于 限制 被 转换 地 址 范 |. m " 

步骤 2 围 的 ACL ip access-list .access-list 必要 

步骤 3 | 定义 地 址 转换 映射 关系 条 目 ip nat ... overload 必要 

步骤 4 | 定义 路 由 器 地 址 转换 的 内 部 接口 “| 记 nat inside 必要 

步骤 5 | 定义 路 由 器 地 址 转换 的 外 部 接口 jip nat outside 必要 

m 检查 地 址 转换 配置 show ip nat translations DES 

debug ip nat 


动态 PAT 与 动态 NAT 在 配置 操作 上 的 主要 区 别 如 下 。 

定义 PAT 地 址 映射 关系 条 目 时 ,命令 最 后 要 增加 一 个 表示 重 载 的 关键 字 overload. 
这 是 进行 PAT 转换 的 标志 。 

另外 ,配置 动态 NAT 时 ,定义 全 局 地 址 池 是 必要 的 ; 但 定义 PAT 时 , 却 未 必 。 可 以 
根据 企业 网 络 规模 和 网 络 流量 情况 ,将 所 有 内 部 地 址 重 载 到 一 个 公共 地 址 上 ,或 一 个 地 址 
池 中 的 多 个 公共 地 址 上 。 

在 Cisco IOS 路 由 器 上 ,定义 动态 PAT 地 址 转换 映射 关系 条 目的 操作 为 在 全 局 配置 
模式 下 输入 : 

ip nat inside source list ACL 名 { pool 全 局 地 址 池 名 | interface 接口 号 ) overload 


1. 重 载 到 多 个 IP 地 址 的 PAT 配置 
例如 ,在 图 4-6 中 边界 路 由 器 上 配置 PAT, 将 内 部 网 络 10.0. 0. 0/24 中 IP 地址 映射 
到 地 址 池 200, 100. 10, 0 一 200. 100, 10. 15 上 的 操作 如 下 。 


Routerl(config)# ip mat pool p-natin 200.100.10.0 200.100.10.15 netmask 255, 255, 255. 240 
Routerl(config) # ip access-list standard  sacl-dnatin 

Routerl Cconfig-std-nacD permit 10.0.0.0  0.0.0.255 

Routerl (config-std-nacl) # exit 

Routerl (config) + ip mat inside source list sacl-dnatin pool p-natin overload 

Router] (config-if) # interface fa0/0 

Routerl (config-if) = ip nat inside 

Routerl (config-if) # interface s1/0 

Routerl(config-iD # ip nat outside 

Routerl(config-if) # end 

Routerl£ show ip nat translations 

Pro Inside global Inside local Outside local Outside global 

icmp 200.100.10.1:7264 10.0.0.2:7264 200. 100. 10. 101:7264 200.100. 10. 101:7264 


注意 : 从 show ip nat translations 命令 输出 结果 可 以 发 现 ,地 址 转换 表 中 除了 
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记录 IP 地 址 还 记录 了 端口 信息 。 


2. 重 载 到 接口 地 址 的 PAT 配置 

为 节省 地 址 资源 ，Cisco IOS 还 允许 将 内 部 地 址 转换 为 某 个 接口 的 地 址 ,这 种 多 对 一 
转换 也 称 为 地 址 重 载 。 要 配置 重 载 到 接口 的 PAT, 只 需 在 定义 地 址 映射 关系 条 目 时 ,使 
用 关键 字 interface, 并 后 跟 重 载 的 接口 号 ,然后 在 最 后 带 上 overload 关键 字 。 

例如 ,要 将 10. 0. 0. 0/24 网 络 内 的 地 址 转换 为 接口 S1/0 的 地 址 , 则 可 以 如 下 配置 。 

Routerl(config) # ip access-list standard sacl-dnatin 

Routerl (config-std-nacl) # permit 10.0. 0. 0 0.0. 0.255 

Routerl (config-std-nacl) # exit 

Routerl(config) # ip nat inside source list sacl-dnatin interface s1/0 overload 

Routerl(config-iD # interface fa0/0 

Routerl(config-if) i ip mat inside 

Routerl(config-iD # interface s1/0 

Routerl(config-if) # ip address 200.100.10.10  255.255.255.0 

Routerl(config-iD # no shutdown 

Routerl(config-if) # ip mat outside 

Routerl (config-if) # end 

Routerl # show ip nat translations 

Pro Inside global Inside local Outside local Outside global 

icmp 200. 100. 10. 10:4885 10.0.0. 2:4885 172. 16. 16. 1:4885 172. 16. 16. 1:4885 


4.3.4 端口 地 址 重 定向 配置 

实际 网 络 中 常 在 以 下 情况 使 用 端口 重 定 向 (Port Address Redirection,PAR) 来 满足 
地 址 转换 需求 。 

(1) 内 网 服务 器 要 对 外 网 提供 服务 ,但 只 有 1 个 公共 地 址 ,该 地 址 又 必须 配置 在 边界 
路 由 器 连接 外 部 网 络 的 接口 上 。 

(2) 公共 地 址 不 足以 为 所 有 内 网 服务 器 配置 静态 NAT。 

(3) 希望 使 用 与 内 网 服务 器 不 同 的 端口 对 外 提供 网 络 服务 。 

在 Cisco IOS 路 由 器 上 ,定义 端口 地 址 重 定向 的 操作 步骤 与 静态 NAT 配置 相同 , 仅 
在 定义 地 址 映射 关系 条 目的 命令 语法 上 有 所 不 同 。 

在 Cisco IOS 路 由 器 上 ,定义 端口 地 址 重 定 向 地 址 映射 关系 条 目的 操作 为 在 全 局 模 
式 下 输入 : 

ip nat inside source static { tcp | udp ) 内 部 本 地 地 址 内 部 本 地 地 址 端口 号 ”内 部 全 

局 地 址 ”内 部 全 局 地 址 端口 号 

例如 ,车 内 网 Web 服务 器 地 址 为 10. 0. 0. 10, 企 业 租 用 的 公共 TP 地 址 为 200. 100. 10. 2. 
则 定义 相应 地 址 转换 映射 关系 条 目的 操作 为 : 


Routerl(config)# ip nat inside source static tcp 10.0.0.10 80 200.100.10.2 80 
4.3.5 外 部 地 址 转换 配置 


如 果 内 部 网 络 需 要 访问 某 地 址 重要 的 外 网 服务 器 ,可 以 通过 配置 静态 外 部 NAT 转 
换 或 静态 外 部 PAT 转换 实现 。 
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如 果 内 部 网 络 同时 要 访问 某 地 址 重 芭 的 外 网 内 主机 , 则 可 以 通过 配置 动态 外 部 NAT 
转换 实现 。 

在 Cisco IOS 路 由 器 上 ,配置 静态 外 部 NAT. IA NAT 和 静态 PAT 的 操作 步骤 与 
配置 内 部 NAT、PAT 相同 ,只 是 在 定义 地 址 映射 关系 条 目 时 有 部 分 参数 不 同 。 

在 Cisco IOS 路 由 器 上 ,定义 静态 外 部 NAT 地 址 转换 映射 关系 条 目的 操作 为 在 全 局 
模式 下 输入 : 

ip nat outside source static 外 部 全 局 地 址 ”外 部 本 地 地 址 

注意 : 该 命令 使 用 outside 关键 字 , 表 明 该 命令 是 对 外 部 地 址 进行 转换 ; 另外 ,被 转 
换 的 地 址 是 “外 部 全 局 地 址 ”, 在 参数 “外 部 全 局 地 址 ”位 置 给 出 ; 转换 后 的 地 址 是 “外 部 本 
地 地 址 ”, 在 参数 “外 部 本 地 地 址 "位置 给 出 。 

例如 ,车 图 4-4 中 PCb 为 某 外 部 网 络 服务 器 ,其 IP 地 址 为 200. 100. 10. 200, 与 图 中 
网 络 1 的 网 络 地 址 重大 。 为 使 网 络 1 中 主机 能 访问 该 服务 器 , 需 在 网 络 1 边界 路 由 器 上 
为 其 配置 外 部 地 址 转换 ,将 其 地 址 在 到 达 网 络 1 时 转换 为 192. 168. 10. 200。 定 义 这 一 地 
址 转换 映射 关系 的 命令 为 : 

Router(config)# ip nat outside source static 200.100.10.200 192.168.10.200 

在 Cisco IOS 路 由 器 上 ,定义 动态 外 部 NAT 地 址 转换 映射 关系 条 目的 操作 为 在 全 局 
模式 下 输入 : 

ip nat outside source list 外 部 全 局 地 址 ACL 名 pool ”外 部 本 地 地 址 池 名 

而 在 Cisco IOS 路 由 器 上 ,定义 静态 外 部 PAT 地 址 转换 映射 关系 条 目的 操作 为 在 全 
局 模式 下 输入 : 

ip nat outside source static { tcp | udp} 外 部 全 局 地 址 端口 号 外 部 本 地 地 址 端口 号 


4.4 模拟 公司 分 支 机 构 地 址 转换 配置 方案 


分 支 机 构 B-1 需要 在 网 络 边界 上 使 用 路 由 器 完成 地 址 转换 任务 。 可 按 表 4-8 所 示 地 


址 转换 方案 ,配置 边界 路 由 器 ,以 满足 4. 1 节 定 义 的 网 络 地 址 转换 任务 需求 。 
表 4-8 分 支 机 构 网 络 地 址 转换 情况 
全 局 地 | 全 局 ”外 部 本 

内 网 主机 地 址 转换 类 型 | 内 部 本 地 地 址 | 端口 全 局 地 址 址 前 级 | 端口 地 地 址 
模拟 生产 系统 | 内 部 静态 NAT |200. 100. 11. 0/28 200. 100. 15. 0~200. 100. 15.15 | 26 
总 部 生产 系统 | 外 部 静态 NAT 200. 100. 11. 0~200. 100. 11. 255 | 24 10. 0. 1. 0/24 
Serl 内 部 静态 NAT |10. 0. 0. 17/28 200. 100. 15. 17 26 
WebSerl 内 部 端口 重 定向 | 10. 0. 0. 18/28 80 80 

内 部 端口 重 定向 25 |200.100.15.18 26 |25 
MailSerl 内 部 端口 重 定向 1 19/28 i5 ið 
普通 主机 内 部 动态 PAT | 10. 0. 2.0/24 200. 100. 15. 32~200. 100. 15.47 | 26 
主管 用 机 内 部 动态 NAT —|10.0.3.0/24 200. 100. 15. 48~200. 100. 15. 56 | 26 
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(1) 分 支 机 构 的 模拟 生产 系统 中 各 主机 需要 配置 静态 NAT 转换 ,这 样 总 部 可 以 访问 
这 些 主机 。 

(2) 总 部 生产 系统 地 址 与 模拟 生产 系统 地 址 重要 ,使 用 外 部 静态 NAT, 将 其 转换 为 
本 地 10. 0. 3. 0/24. 

(3) 服务 器 Serl 上 宿主 多 种 服务 ,为 保证 网 络 服务 性 能 ,使 用 内 部 静态 NAT 实现 对 
外 服务 。 

(4) 服务 器 WebSerl、MailSerl 分 别提 供 Web 服务 和 邮件 服务 ,其 服务 端口 不 冲突 ， 
本 着 节省 IP 地 址 资源 的 原则 ,可 以 将 其 转换 为 一 个 公共 IP. 

(5) 内 网 有 200 台 左 右 普 通 主机 ,根据 平时 历史 统计 ,每 台 主 机 对 外 并 发 连接 平均 在 
1000 个 左右 ,考虑 到 一 个 公共 地 址 可 以 提供 4000 个 左右 PAT, 则 至 少 需要 5 个 公共 IP 
地 址 ,方案 设计 为 其 预 留 16 个 IP 地 址 。 

(6) 主管 用 机 因为 要 访问 网 络 多 媒体 资源 ,所 以 不 能 使 用 PAT, 考 虑 使 用 内 部 动 
态 NAT。 


4.5 小 结 


将 内 部 网 络 连接 到 Internet 时 , 需 使 用 地 址 转换 技术 进行 私有 地 址 与 公共 TP 地 址 间 
的 转换 ; 地 址 转换 技术 分 为 NAT、PAT, 内 部 地 址 转换 、 外 部 地 址 转换 ,静态 地 址 转换 、 动 
态 地 址 转换 等 ; 在 路 由 器 上 配置 地 址 转换 的 基本 步骤 分 两 步 : 定义 地 址 转换 映射 条 
H; @ 指 定 接口 地 址 转换 类 型 。 


4.6 习题 


1. 简 述 各 类 NAT 功能 ,并 举例 。 

2. 有 哪些 情况 使 用 PAT 时 ,不 一 定 能 得 到 网 络 设备 的 支持 ? 

3. 使 用 PAT 时 ,一 个 公共 IP 地 址 可 以 供 多 少 主机 使 用 ? 

4. 当 边界 路 由 器 上 配置 了 内 部 静态 NAT 将 本 地 地 址 10. 0. 0. 1 转换 为 200. 100. 1. 1 
时 ,是 否 需 要 在 边界 路 由 器 上 增加 一 条 到 达 200. 100. 1. 0/24 的 路 由 ? 并 解释 原因 。 


4.7 Xill 


1. 实 训 组 织 
实 训 学 时 : 300 分 钟 。 
学 生 分 组 : 2 人 /组 。 


2. 实 训 目的 
通过 实 训 , 熟 练 掌握 路 由 器 上 配置 各 类 地 址 转换 的 操作 。 


3. 实 训 环 境 
(1) 安装 有 Windows 系统 、 网 络 服务 软件 (例如 XAMPP) 的 PC, 每 组 3 台 。 


x 
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(2) Cisco 二 层 交换 机 ,每 组 1 台 。 
(3) Cisco 路 由 器 ,每 组 2 台 。 
(4) UTP 交叉 电缆 ,每 组 1 条 。 
(5) UTP 直通 电缆 ,每 组 4 条 。 
(6) Console 电缆 ,每 组 1 条 。 


注意 保持 所 有 的 路 由 器 、 交 换 机 为 出 厂 配置 。 


4. 实 训 准备 


在 实 训 前 ,实验 室 教师 需 完成 以 下 准备 工作 。 
。 按照 图 4-7 所 示 连 接 实 训 网 络 。 

。 按照 表 4-9 所 示 ,在 交换 机 上 划分 VLAN, 
© 按照 表 4-10 所 示 ,配置 路 由 器 接口 和 PCc 的 IP 地 址 ,并 完成 网 络 连通 性 配置 。 
。 在 PCa、PCb、PCc 上 配置 好 实 训 所 需 Web、FTP 等 网 络 服务 。 


"mni c CS M quA MILI - 


人 分 支 机 构 B-1 4 ASIA S 
| 1 
| 内 部 ! 外 部 | | | 
上 1 
1 1 ot 1 
| Fa0/1 a Fa0/0 |_| Fa0/0 rz [T] ec: | 
1 it 1 
I 1 
| 边界 路 由 器 1 1 边界 路 由 器 | 
| C3845-2-20-1 $ | C3845-1-0-1 | 
a C F. Ae secretes Bytes erie / 
图 4-7 地 址 转换 实 训 网 络 拓扑 示意 图 
表 4-9 地 址 转换 实 训 VLAN 划分 
VLAN 号 说 明 网 络 地 址 /前 级 
10 分 支 机 构 B-1 模拟 生产 系统 网 络 200. 100. 11. 0/28 
15 分 支 机 构 B-1 服务 器 网 络 10. 0. 0. 16/28 
20 分 支 机 构 B-1 普通 主机 网 络 10. 0. 2. 0/24 
30 分 支 机 构 B-1 主管 用 机 网 络 10. 0. 3. 0/24 
表 4-10 地址 转换 实 训 IP 地 址 分 配 
序号 | VIA # o 角 ë 他 地 址 /网 络 前 级 Nox 
C3845-2-20-1 接口 Fa0/0 “| 分 支 机 构 外 网 接口 200. 100. 15. 62/26 
C3845-2-20-1 接口 Fa0/1. 10 | 分 支 机 构 模拟 生产 系统 网 关 |200. 100. 11. 14 
C3845-2-20-1 接口 Fa0/1. 15 | 分 支 机 构 服 务 器 网 关 10. 0. 0. 30 
所 有 项 目 C3845-2-20-1 接口 Fa0/1. 20 | 分 支 机 构 普通 主机 网 关 10. 0. 2. 254 
C3845-2-20-1 接口 Fa0/1. 30 | 分支 机 构 主管 用 机 网 关 10. 0. 3. 254 
C3845-1-0-1 接口 Fa0/0 ”| 总 部 外 网 接口 200. 100. 15. 61/26 
C3845-1-0-1 接口 Fa0/1 ”| 总 部 内 网 接口 200. 100. 11. 254/24 
PCc 总 部 生产 系统 主机 200.100.11.1/24  |200.100.11.254 
PCa 分 支 机 构 模 拟 生产 系统 主机 |200. 100.11. 1/28 — | 200. 100. 11. 14 
| PCb 分 支 机 构 Serl 10. 0. 0. 17/28 10. 0. 0. 30 
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续 表 
序号 | SUA 接 口 fü & 耳 地 址 /网 络 前 组 网 关 
2 | 内 部 动态 NAT PCa 分 支 机 构 主管 用 机 10. 0. 3.1/24 10. 0. 3. 254 
PCb 分 支 机 构 主管 用 机 10. 0. 3. 2/24 10. 0. 3. 254 
PCa 分 支 机 构 普通 用 机 10. 0. 2. 1/24 10. 0. 2. 254 
部 动态 
i PCb 分 支 机 构 普通 用 机 10. 0. 2. 2/24 10. 0. 2. 254 
à 内 部 端口 重 PCa 分 支 机 构 WebSerl 10. 0. 0. 18/28 10. 0. 0. 30 
定向 PCb 分 支 机 构 MailSerl 10. 0. 0. 19/28 10. 0. 0. 30 
5 | 外 部 静态 NAT PCa 分 支 机 构 模 拟 生产 系统 主机 |200.100.11.1/28 — | 200. 100. 11. 14 
PCb 分 支 机 构 模拟 生产 系统 主机 |200. 100. 11.2/28 — |200.100. 11. 14 


该 实 训 网 络 拓扑 仿照 模拟 公司 分 支 机 构 B-1 网 络 设计 ,简化 了 一 些 与 本 次 实 训 内 容 无 
关 的 部 分 ,同时 实 训 中 将 分 支 机 构 B-1 的 邮件 服务 器 MailSer 改 为 提供 FTP 服务 。 


5. 实 训 内 容 

(1) 内 部 静态 NAT 配置 。 
(2) 内 部 动态 NAT 配置 。 
(3) 内 部 动态 PAT 配置 。 
(4) 内 部 端口 重 定向 配置 。 
(5) 外 部 静态 NAT 配置 。 


6. 实 训 指导 

(1) 内 部 静态 NAT 配置 

根据 4. 4 节 模 拟 公司 分 支 机 构 地 址 转换 配置 方案 中 有 关 描 述 可 知 , 对 于 分 支 机 构 B-1， 
需要 进行 以 下 两 项 静态 NAT 配置 。 

CD 将 模拟 生产 系统 中 所 有 主机 IP 200.100.11.0/28 使 用 静态 NAT 转换 为 
200, 100. 15. 0— 200, 100. 15. 15 ,这 可 以 通过 一 个 网 络 到 另 一 个 网 络 的 静态 NAT 转换 实现 。 

@ 将 服务 器 Serl 使 用 的 地 址 10. 0. 0. 17 使 用 静态 NAT 转换 为 200. 100, 15. 17 ,这 
可 以 通过 一 对 一 的 静态 NAT 实现 。 

在 路 由 器 C3845-2-20-1 实现 以 上 静态 NAT 转换 的 配置 操作 如 下 。 

C3845-2-20-l(config) # ip nat inside source static network 200.100.11.0 200.100.15.0/28 

C3845-2-20-lCconfig) ip nat inside source static 10.0.0.17 200.100. 15.17 

C3845-2-20-1Cconfig) # interface fa0/0 

C3845-2-20-1(config-if) = ip nat outside 

C3845-2-20-l(config-iD # interface fa0/1.10 

C3845-2-20-1Cconfig-subiD # ip nat inside 

C3845-2-20-1(config-if) # interface fa0/1.15 


C3845-2-20-1Cconfig-subiD # ip nat inside 
C3845-2-20-1Cconfig-subif) # end 


以 上 配置 完成 后 ,使 用 如 下 命令 ,打开 地 址 转换 跟踪 显示 。 
C3845-2-20-1# debug ip mat 


按照 表 4-10 为 PCa、PCb 配置 IP, 然 后 分 别 使 用 ping 测试 从 PCa、PCb 到 达 PCc 的 
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连通 性 。 注 意 ,由 于 此 时 PCa 地 址 200. 100. 11. 1 与 外 部 网 络 PCc 的 地 址 200. 100. 11. 1 
AEA, HL PCa、PCb 此 时 ping 不 通 PCc。 
输入 如 下 命令 ,检查 地 址 转换 配置 是 否 正确 。 


C3845-2-20-] # show ip nat translations 
Pro Inside global Inside local Outside local Outside global 
--- 200. 100. 15. 17 10.0.0. 17 sss zas 


Subnet translation: 
Inside global Inside local Outside local Outside global /prefix 
200. 100. 15.0 200. 100. 11. 0 eum =-= /28 


由 以 上 输出 结果 可 以 发 现 , 地 址 转换 关系 定义 是 符合 地 址 转换 方案 要 求 的 。 

(2) 内 部 动态 NAT 配置 

根据 4. 4 节 模 拟 公司 分 支 机 构 地 址 转换 配置 方案 中 有 关 描 述 可 知 ,对 于 分 支 机 构 
B-1, 需 要 对 主管 用 机 10. 0. 3. 0/24 使 用 动态 NAT 转换 为 公共 IP 地 址 200. 100. 15. 48 一 
200. 100. 15. 56。 相 应 配置 操作 如 下 所 示 。 

C3845-2-20-1(config)#ip access-list standard sacl-dnat-lead 

C3845-2-20-1(config-std-nacl) permit 10.0.3.0 0.0.0.255 

C3845-2-20-1 (config-std-nacl) # exit 

C3845-2-20-1(config) # ip nat pool dp-lead 200. 100. 15. 48 200. 100, 15. 56 netmask 255. 255. 255. 192 

C3845-2-20-l(config) fip nat inside source list sacl-dnat-lead pool dp-lead 

C3845-2-20-1(config-iD # interface fa0/1. 30 

C3845-2-20-1lCconfig-subiD #ip nat inside 

C3845-2-20-1(config) € end 

以 上 配置 定义 了 地 址 池 dp-lead 和 ACL sacl-dnat-lead。 在 地 址 池 中 ,起 止 地 址 分 别 
为 200. 100, 15. 48,200. 100, 15. 56, 共 8 个 IP, 子 网 掩 码 为 分 支 机 构 网 络 公共 TP 地 址 的 
子 网 掩 码 255. 255. 255. 192, 

注意 : 此 处 如 果 使 用 子 网 掩 码 255.255.255.240, 则 将 从 200. 100. 15. 49 开始 地 址 转 
换 。 由 于 分 支 机 构 B-1 网 络 内 没有 使 用 此 段 公共 IP 地址 ,所 以 不 用 担心 此 处 使 用 子 网 掩 
码 255. 255. 255. 192 会 影响 路 由 。 

按照 表 4-10 修改 PCa、PCb 的 IP 地 址 ,并 分 别 使 用 ping 测试 PCa, PCb 到 PCc 的 连 
通 性 。 此 时 由 于 已 经 打开 了 路 由 器 的 地 址 转换 跟踪 显示 ,路 由 器 上 会 显示 如 下 一 些 信息 。 

* Mar 107:28:16.338: NAT: s— 10. 0. 3. 1-200. 100. 15. 48, d=200. 100. 11. 1 [50] 

* Mar 107:28:16.586: NAT * : s—200. 100. 11. 1, d— 200. 100. 15. 48->10. 0. 3. 1 [50] 

HEB: 只 在 需要 进行 地 址 转换 时 ,路 由 器 才 会 建立 动态 的 地 址 转换 信息 并 保存 到 地 址 
转换 表 中 ,所 以 当 没 有 匹配 的 数据 报 文 通过 路 由 器 时 ,使 用 show ip nat translations 命 
令 检 查 动 态 地 址 转换 ,是 看 不 到 任何 效果 的 。 

(3) 内 部 动态 PAT 配置 

根据 4. 4 节 模 拟 公司 分 支 机 构 地 址 转换 配置 方案 中 有 关 描 述 可知 , 对 于 分 支 机 构 
B-1, 需 要 对 分 支 机 构 内 普通 主机 10. 0. 2. 0/24 使 用 动态 PAT 转换 为 公共 IP 地 址 
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200. 100. 15. 32 一 200. 100. 15. 47 ,相应 配置 及 检查 操作 如 下 所 示 。 


C3845-2-20-l(config) fip access-list standard sacl-dpat-pc 

C3845-2-20-1(config-std-nacl) permit 10.0.2.0 0.0.0.255 

C3845-2-20-1Cconfig-std-nacD # exit 

C3845-2-20-1 (config) # ip nat pool dp-pc 200. 100, 15. 32 200. 100. 15. 47 netmask 255. 255. 255. 192 
C3845-2-20-l(config) iip mat inside source list sacl-dpat-pc pool dp-pc overload 
C3845-2-20-1Cconfig-iD # interface fa0/1. 20 

C3845-2-20-l(config-subif) #ip nat inside 

C3845-2-20-1 (config) # end 


按照 表 4-10 修改 PCa, PCb 的 IP 地 址 ,然后 使 用 ping 分 别 测试 PCa, PCb 到 达 PCc 
的 连通 性 。 测 试 时 ,不 要 忘记 在 路 由 器 上 输入 如 下 命令 ,检查 地 址 转换 表 中 的 动态 PAT 
映射 信息 。 


C3845-2-20-1#show ip nat translations 

Pro Inside global Inside local Outside local Outside global 
icmp 200. 100, 15. 34:752 10.0. 2. 1:752 200. 100. 11. 1:752 200. 100. 11. 1:752 
icmp 200. 100. 15. 34:753 10. 0. 2. 1:753 200. 100. 11. 1:753 200. 100. 11. 1:753 
icmp 200. 100. 15. 34:754 10. 0. 2. 1:754 200. 100. 11. 1:754 200. 100. 11. 1:754 
icmp 200. 100. 15. 34:755 10. 0. 2. 1:755 200. 100. 11. 1:755 200. 100. 11. 1:755 
icmp 200. 100. 15. 34:756 10. 0. 2. 1:756 200. 100. 11. 1:756 200. 100. 11. 1:756 
--- 200. 100. 15. 17 10. 0. 0. 17 ss aas 


Subnet translation; 
Inside global Inside local Outside local Outside global /prefix 
200. 100. 15. 0 200. 100. 11. 0 === = /28 


(4) 内 部 端口 重 定向 配置 

根据 4. 4 节 模 拟 公 司 分 支 机 构 地 址 转换 配置 方案 中 有 关 描 述 可 知 ,对 于 分 支 机构 B-1， 
需要 将 服务 器 WebSerl,MailSerl 的 地 址 和 端口 10. 0. 0. 18:80、10. 0. 0. 19:21,10. 0. 0. 19:20 
使 用 端口 重 定向 转换 到 公共 TP 地 址 200. 100, 15. 18:80,200, 100, 15. 18:21,200. 100. 15. 18:20, 
其 相应 配置 如 下 所 示 。 

C3845-2-20-1(config) fip nat inside source static tcp 10.0.0.18 80 200.100.15.18 80 

C3845-2-20-l(config) fip nat inside source static tcp 10.0.0.19 20 200.100.15.18 20 

C3845-2-20-lCconfig) fip mat inside source static tcp 10.0.0.19 21 200.100.15.18 21 

C3845-2-20-1(config) # end 

完成 以 上 配置 后 ,按照 表 4-10 为 PCa、PCb 配置 IP 地 址 ,然后 在 PCc 上 使 用 客户 端 
访问 PCa, PCb 上 的 Web 服务 FTP 服务 ,测试 地 址 转换 配置 是 否 能 正确 转换 地 址 。 注 
意 在 测试 时 ,使 用 show 命令 检查 地 址 转换 表 。 例 如 , 当 在 PCc 上 运行 浏览 器 访问 PCa 上 
的 Web 服务 时 ,show ip nat translations 命令 输出 结果 可 能 如 下 所 示 o 


C3845-2-20-] show ip nat translations 


Pro Inside global Inside local Outside local Outside global 
tcp 200. 100. 15. 18:80 — 10.0.0. 18:80 200.100.11.1:11000 200. 100.11. 1:11000 
--- 200. 100. 15. 17 10. 0.0.17 === =a 


tcp 200. 100. 15. 18:20 — 10.0.0. 19:20 --- sss 


PC) 


/ 
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tcp 200. 100. 15. 18:21 10. 0. 0. 19:21 == 222. 
tcp 200. 100. 15. 18:80 — 10.0.0. 18:80 Ses zac 


Subnet translation; 
Inside global Inside local Outside local Outside global /prefix 
200. 100. 15.0  200.100.11.0 --- SEE /28 


(5) 外 部 静态 NAT 配置 
根据 4. 4 节 模 拟 公司 分 支 机 构 地 址 转换 配置 方案 中 有 关 描 述 可 知 ,对 于 分 支 机 构 B-1， 


需要 对 总 部 生产 系统 网 络 进 行 外 部 静态 NAT 配置 ,相应 配置 如 下 所 示 。 


C3845-1-20-l(config) iip nat outside source static network 200.100.11.0 10.0.1.0 /24 
C3845-2-20-1 (config) # end 


完成 以 上 地 址 转换 配置 后 ,按照 表 4-10 为 PCa、PCb 配置 IP 地 址 ,然后 使 用 ping 分 


3| PCa,PCb 上 测试 到 PCc 的 连通 性 。 由 于 前 面 配置 中 打开 了 地 址 转换 跟踪 ,所 以 可 
能 出 现 如 下 所 示 地 址 转换 信息 。 


* Mar 111:25:47.433: NAT * : s=200.100.11.1->200.100.15.1, d=10.0.1.254 [223] 
* Mar 111;25:47.433; NAT * ; s— 200. 100. 15. 1, d— 10. 0. 1. 254—200. 100. 11. 254 [223] 
* Mar 111:25:47.557: NAT * : s—200. 100. 11. 254—710. 0. 1. 254, d— 200. 100. 15. 1 [223] 
* Mar 111:25:47.557: NAT * : s—10.0. 1. 254, d— 200. 100. 15. 1-200. 100. 11. 1 [223] 


7. KIRE 
1. 在 使 用 “ip nat inside source static network 200.100.11.0 200, 100. 15. 0/28” 命 令 配置 
内 部 静态 NAT 后 : 
(1) 内 部 本 地 地 址 200. 100. 11. 3 会 被 转换 为 : 200. 100. 15. 
(2) 内 部 地 址 200. 100. 11. 254 会 被 转换 为 : 。 
为 什么 ? 答 ， o 


2. 在 配置 内 部 动态 NAT 时 ,如 果 使 用 以 下 ACL 定义 将 被 转换 的 地 址 , 则 下 列 说 法 正确 的 是 (  )。 


ip access-list standard  sacl-dnat-lead 
deny host 10.0.3.1 
permit 10.0.3.0 0.0.0.255 
deny host 10.0.3.254 


A. 内 部 本 地 地 址 10.0. 3. 1 将 被 进行 地 址 转换 

B. 内 部 本 地 地 址 10. 0. 3. 254 不 会 被 进行 地 址 转换 

C. 内 部 本 地 地 址 10.0.3. 1 和 10. 0. 3. 254 将 被 进行 地 址 转换 

D. BR 10.0. 3. 1 #1 10. 0. 3. 254 外, 网络 10.0. 3. 0/24 内 的 所 有 地 址 都 会 被 转换 


3. 简 述 配置 内 部 动态 NAT 的 步骤 。 
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续 表 


4. 如 果 内 部 动态 PAT 的 地 址 池 如 下 定义 , 则 第 一 个 能 被 使 用 的 公共 IP 地 址 是 : 。 
最 后 一 个 能 被 使 用 的 公共 IP 地 址 是 : 


ip nat pool dp-lead 200. 100. 15. 10 200. 100. 15.63 netmask 255. 255. 255. 192 


5. 在 配置 内 部 动态 PAT 后 ,被 用 于 转换 的 第 一 个 全 局 端口 是 : š 


6. 如 果 分 支 机 构 B-1 内 有 多 台 Web 服务 器 要 对 外 提供 服务 , 且 全 局 端口 均 为 80, 那 么 这 些 Web 服 
务 器 可 以 共享 1 个 全 局 IP 地 址 吗 ? OTA ORTA 


7. 在 完成 实 训 中 以 下 外 部 地 址 转换 配置 后 : 


ip nat inside source static network 200.100.11.0 200.100.15.0/28 
ip nat outside source static network 200.100.11.0 10.0.1.0 /24 
(D 从 PCa 上 使 用 ping 测试 到 达 PCc 的 连通 性 时 ,应 在 PCa 上 输入 : ping 
(2) 从 PCc 上 使 用 ping 测试 到 达 PCa 的 连通 性 时 ,应 在 PCc 上 输入 : ping 


VPN dX 术 


本 章 任务 : 根据 工程 任务 安全 需求 分 析 , 解 决 利用 Internet 线路 进行 安全 通信 配置 问题 。 
必 备 知识 : (1) VPN 概念 。 


(2) 站 到 站 VPN 配置 。 
(3) 远程 访问 VPN 配置 。 
学 习 目 标 : 完成 在 路 由 器 上 创建 模拟 分 公司 与 分 支 机 构 间 、 分 支 机 构 与 员工 计算 机 
间 VPN 连接 的 配置 任务 ,保护 基于 Internet 线路 的 网 络 通信 安全 。 


5.1 模拟 公司 网 络 安全 通信 配置 任务 分 析 


如 图 5-1 Bros ,模拟 分 公司 1 与 分 支 机 构 B-1 间 租 用 Internet 线路 进行 通信 。 为 保 
证 公司 网 络 通信 安全 ,要 求 : 


分 支 机 构 A-1 


图 5-1 分 支 机 构 B-1 与 公司 其 他 单位 间 的 网 络 连接 
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。 凡是 分 支 机 构 B-1 与 模拟 分 公司 1 间 的 通信 都 要 受到 加 密 保护 ; 

。 公司 职员 在 Internet 上 对 分 支 机 构 B-1 内 服务 器 的 远程 访问 受到 加 密 保护 。 

更 进一步 ,要 求 公司 所 有 使 用 Internet 线路 的 网 络 间 进行 通信 时 , 均 应 受到 加 密 
保护 。 


5.2 VPN 简介 


5.2.1 VPN 技术 及 通信 安全 

VPN( Virtual Private Network ,虚拟 专用 网 ) 技 术 使 用 加 密 、 认 证 等 手段 ,为 用 户 在 
公共 网 络 上 提供 了 像 专用 网 络 一 样 的 通信 保障 。 

在 使 用 VPN 进行 通信 的 过 程 中 ,通信 双方 经 过 认证 才 建 立 连接 ; 数据 报 文 可 以 在 通 
信和 两 端 被 加 、 解 密 ,只 有 通信 双方 可 以 读 取 ; 数据 报 文 被 封装 在 安全 协议 报 文中 , 附 有 验 
证 数据 ,确保 在 通信 过 程 中 对 原始 数据 报 文 的 自 改 能 够 被 发 现 , 即 数据 完整 性 (Integrity) 
保证 。 因 此 ,加 密 技术 、 认 证 技术 、 数 据 完整 性 技术 是 构成 VPN 的 主要 内 容 , 也 是 实施 
VPN 时 需要 配置 的 部 分 。 

在 VPN 技术 中 , 称 使 用 VPN 技术 建立 起 来 的 安全 通道 为 “隧道 "tunnel) ,而 连接 隧 
道 两 端 , 对 数据 进行 安全 协议 封装 . 解 封装 的 设备 则 被 称 为 “对 等 体 ”(peer) 。 

1. 加 密 技 术 

(1) 加 密 技 术 简介 

加 密 技 术 是 VPN 技术 实现 的 基础 。 加 密 是 将 明文 数据 经 加 密 算法 处 理 , 转 变 为 难 
以 读 取 的 密 文 数据 的 过 程 ; 解密 则 是 进行 反 向 操作 。 

密 钥 (Key) 是 一 串 数字 ,在 加 ,解密 运算 过 程 中 ,作为 参数 使 用 。 在 通信 过 程 中 ,可 以 
对 数据 使 用 密 钥 进行 加 密 ,使 得 只 有 掌握 密 钥 的 用 户 才 能 解密 密 文 。 

根据 使 用 密 钥 的 情况 ,加密 技 术 分 为 对 称 加 密 、 非 对 称 加 密 两 种 。 

CD 对 称 加 密 技术 。 加 密 、 解 密 时 使 用 同一 个 单独 密 钥 进行 ,其 工作 过 程 如 图 5-2 所 示 。 

用 户 A 用 户 B 


对 称 加 密 算法 对 称 加 密 算法 
DES/3DES/AES DES/3DES/AES 


明文 
Hello! 


明文 ] js A 
Hello! #2!ad 
NE. 


图 5-2 对 称 加 密 技术 


< 
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© 非 对 称 加 密 技术 。 使 用 一 对 密 钥 进行 加 /解密 运算 ,一 个 密 钥 用 于 加 密 , 一 个 密 钥 
用 于 解密 ,其 工作 过 程 如 图 5-3 所 示 。 用 于 加 密 的 密 钥 ,被 称 为 私 钥 ; 用 于 解密 的 密 钥 ， 
则 被 称 为 公 钥 。 注 意 ,使 用 密 钥 对 中 任何 一 个 密 钥 是 不 能 计算 出 另 一 个 密 钥 的 。 


TERY Pi aS 非 对 称 加 密 算法 
RSA/D-H/DSA RSA/D-H/DSA 


#2!@d 


明文 
Hello! 


HAR NS HAMA NS 


图 5-3 非 对 称 加 密 技术 


加 密 算法 是 加 密 技术 的 核心 。 表 5-1 显示 了 各 类 常用 加 密 算法 的 功能 及 特点 。 
表 5-1 各 类 加 密 算法 
类 型 算法 功 能 抗 攻击 强度 


DES 使 用 56bit 密 钥 ,加 密 64bit 数据 块 58 
m 3DES 使 用 168bit 密 钥 ,加 密 64bit 数据 块 比 DES 强 
AES 使 用 128bit, 192bit 或 256bit HA ,可 以 加 密 128bit, 192bit Kt DES% 
或 256bit 数据 块 
RSA 定义 了 如 何 进行 密 钥 交换 ,数字 签名 、 消 息 加 密 的 方法 强 
非 对称 加 密 | DSA 用 于 数字 签名 
D-H 定义 了 如 何 交 换 共享 密 钥 的 方法 


注意 : 非 对 称 加 密 算法 一 般 比 对 称 加 密 算 法 运算 起 来 更 为 复杂 、 消 耗 的 资源 更 多 ,所 
以 在 实际 应 用 中 ,往往 将 对 称 加 密 技 术 与 非 对 称 加 密 技术 结合 起 来 使 用 。 
。 使 用 对 称 加 密 技术 加 密 通 信和 数据 ,提高 加 密 速 度 , 降 低 加 密 所 需 成 本 。 
。 为 防止 密 钥 分 配 过 程 中 密 钥 被 偷窃 ,或 恶意 用 户 通过 统计 方法 破解 共享 密 钥 ,每 
次 通信 都 更 换 密 钥 。 为 使 一 次 性 密 钥 交换 更 安全 、 便 捷 , 在 密 钥 分 配 过 程 中 使 用 
非 对 称 加 密 技术 保护 一 次 性 共享 密 钥 。 具 体 方法 见 下 面 D-H 算法 。 
(2) 密 钥 交换 算法 D-H 
在 使 用 共享 密 钥 的 通信 过 程 中 ,需要 解决 通信 用 户 间 安 全 交换 共享 密 钥 的 问题 。 
VPN 技术 中 使 用 D-HCDiffe-Hellman, 笛 夫 -哈弗 曼 ) 算 法 解决 以 上 问题 。D-H 算法 工作 
原理 如 图 5-4 所 示 。 
© HP A 选择 一 个 素数 p ,发送 给 用 户 B。 
© 用 户 BB 使 用 pp 根据 一 定 规 则 生成 p 的 原 根 a ,1 二 a<p, 并 将 a 返回 给 用 户 A。 
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用 户 A 用 户 B 
i 
产生 素数 p 


- EE 
. 产生 p 的 原 根 a 
xl = 原 根 a Du 原 根 a 
随机 产生 X4 ^T YA=a™ mod pH PEE f 
YA YA = YB-a'? mod p |< XB 随机 产生 XB 
YB i 
7 : YB 素数 p 
XA l K-YBU mod p omen 
K | [| K-Y4"" mod p -2— ^2 
PEN | EMET le 
共享 密 钥 了 生成 密 文 ST=7(TA) t 
[sr | sr | sr] 使 用 K 解 密 S7 
得 到 了 
T 
n SD : emp 
使 用 7 加 /解密 通信 数据 


图 5-4 D-H 工作 原理 


C MP A 随机 产生 一 个 不 能 公开 的 密 钥 XA EH XA. p.a 计算 出 可 以 公开 的 密 
HAYA. 

(D FAP! B BEL" ^E —^ AS FE ZS FE XB IEE XB. p.a 计算 出 可 以 公开 的 密 
SH YB. 

© 用 户 A、 用 户 B 交 换 公 

用 户 A 使 用 YB、XA Fl p 计算 出 K, 用 户 B 使 用 YA XB 和 pp 计算 出 同样 的 K。 

C) 用 户 A 产生 一 个 临时 共享 密 钥 ,并 用 K 加 密 后 ,发 送 给 用 户 B。 

@ AAP B 收 到 用 天 加密 的 工 后 ,使 用 天 解密 得 到 工 。 

© HP A、 用 户 B 使 用 了 加 密 通信 数据 ,进行 通信 。 

D-H 算法 的 关键 在 于 ,使 用 XA、p\a 计算 YA 很 容易 ,而 由 YA p.a 反 向 计算 出 XA 
却 很 难 。 因 此 ,虽然 D-H 计算 过 程 中 公开 交换 了 p、a、YA 、YB 这 4 个 数据 ,但 仅 截取 这 
些 数据 很 难 计算 出 XA、XB BK; 但 更 为 奇妙 的 是 ,用 户 A、 用 户 BB 能 利用 此 过 程 生成 相 
同 的 KK, 帮 助 交 换 临 时 密 钥 T。 由 于 临时 密 钥 T 每 次 通信 时 才 会 生成 ,所 以 D-H 算法 可 
以 提供 很 好 的 机 密 性 。 

HB. D-H 算法 可 以 提供 交换 信息 的 机 密 性 ,但 该 过 程 中 并 没有 提供 认证 机 制 ,所 
以 容易 遭受 中 间 人 攻击 ,解决 这 一 问题 的 办 法 是 在 此 过 程 中 使 用 数字 证 书 实现 认证 的 
目的 。 
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2. 数据 完整 性 保证 

COD 散 列 

散 列 也 称 摘要 (Hash) ,是 一 段 可 以 唯一 标识 通信 数据 的 、 固 定 长 度 的 信息 ,可 以 由 特 
定 的 散 列 算法 ,对 通信 数据 进行 运算 生成 。 散 列 具有 以 下 特点 。 

。 通信 数据 不 同 ,其 散 列 值 不 同 。 

。 不 能 使 用 散 列 反 向 计算 出 产生 该 散 列 的 数据 。 

由 于 以 上 特定 , 散 列 被 用 于 在 网 络 通信 中 鉴别 数据 完整 性 ,如 图 5-5 所 示 。 图 中 用 户 
A 发 送 数据 时 ,附带 数据 的 散 列 值 。 用 户 B 收 到 后 ,重新 根据 收 到 的 数据 用 相同 的 算法 
计算 散 列 值 ,如 果 与 收 到 的 散 列 值 相同 , 则 认为 数据 未 被 自 改 。 


用 户 A 用 户 B 


| 散 列 算法 
MDS/SHA 
HAE 数据 计 AL 
reals 12 
pubes Hello!) be &*^97 数据 
rm 比较 图 


散 列 算 法 ry 
MDS/SHA Lo 


数据 
Hello! 


图 5-5 散 列 技术 


一 般 情 况 下 , 抗 攻击 强度 越 强 的 散 列 算 法 计算 复杂 度 越 高 , 表 5-2 显示 了 两 种 常用 的 
散 列 算法 。MD5 算法 虽然 抗 攻击 强度 弱 ,并 已 被 证 明 1 小 时 内 就 能 生成 分 析 攻 击 和 实际 
冲突 ,但 因为 比 SHA 简单 ,运算 速度 快 ,所 以 仍 被 很 多 人 使 用 。 
表 5-2 常用 散 列 算法 
算法 ii R 抗 攻击 强度 


MD5 | 被 广泛 应 用 于 各 种 应 用 中 ,例如 IPSec 等 。 散 列 值 长 度 为 65bit 弱 
有 SHA-0,SHA-1,SHA-2 等 ,其 中 SHA-2 又 有 SHA-224,SHA-256 ,SHA-384, 
SHA-512 多 个 变 体 ,它们 的 散 列 值 长 度 分 别 为 160bit 160bit, 224bit, 256bit, 
384bit 和 512bit。 其 中 SHA-1 目前 广泛 用 于 各 种 应 用 中 ,例如 传输 层 安 全 协议 
TLS. 安 全 套 接 层 协议 SSL、 优 良 保密 协议 PGP、 安 全 外 壳 协 议 SSH、IPSec 等 


SHA 


(2) 散 列 消息 认证 码 

传统 的 散 列 算法 生成 散 列 值 时 不 涉及 密 钥 ,但 散 列 消息 认证 码 (Hashed Message 
Authentication Code, HMAC) 生 成 散 列 值 时 , 却 将 一 个 共享 密 钥 附加 在 消息 上 ,一 同 计算 
散 列 值 ,如 图 5-6 所 示 。HMAC-MD5 和 HMAC-SHA-1 是 两 种 常用 的 HMAC 算法 ,分 
别 生成 128bit 和 160bit 长 度 的 散 列 值 。 如 前 所 述 , HMAC-MDS 在 抗 攻击 强度 方面 不 如 
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HMAC-SHA-1, 


: 散 列 算法 

m MDS/SHA 

g EEA 

e 数据 C 计算 人 _| 散 列 值 

散 列 值 Hello! | Ss ^ 数据 
si &*^97] — d ua Hello! 
散 列 算法 aaa si 
MDS/SHA &97j 


图 5-6 HMAC it & 


在 VPN 技术 中 , 散 列 消 息 认证 码 被 用 于 验证 通信 数据 是 否 在 通信 过 程 中 受到 了 破坏 。 

(3) 数字 签名 及 数字 证 书 

在 非 对 称 加 密 技术 中 , 私 钥 由 用 户 自己 保存 ,而 公 钥 可 以 公开 给 通信 接收 者 解密 数据 
使 用 。 由 于 只 有 用 户 自 己 持 有 私 钥 , 并 且 只 有 使 用 该 用 户 的 公 钥 才能 解 开 用 其 私 钥 加 密 
的 数据 ,所 以 私 钥 加 密 通 信 数 据 生成 的 密 文 被 称 为 “数字 签名 ”, 可 以 被 通信 数据 的 接收 者 
用 来 判断 发 送 数据 用 户 的 身份 。 同 时 ,接收 者 也 可 以 通过 比较 接收 的 数字 签名 和 巾 接收 
数据 产生 的 数字 签名 是 否 一 致 ,来 判断 通信 数据 是 否 在 网 络 传输 过 程 中 被 破坏 。 使 用 数 
字 签 名 保证 通信 数据 完整 性 的 过 程 如 图 5-7 所 示 。 图 中 ,用 户 A 将 带 有 通信 数据、 通信 数 
据 数字 签名 以 及 用 户 A 数字 证 书 的 报 文 发 送 给 用 户 B。 用 户 B 从 用 户 A 数字 证 书 中 提 
取 用 户 A 的 公 钥 ,然后 用 该 密 钥 加 密 收 到 的 数据 ,并 将 由 此 得 到 的 数字 签名 与 收 到 的 通 
信和 数据 进行 比较 ,如 果 相 同 则 认为 数据 未 被 破坏 。 

用 户 A 用 户 B 


数字 签名 
E3 数据 | | #21@d*& 
Hello! Hello! e 
非 对 称 加 密 算法 比较 
RSA 数字 签名 数字 签名 4 


数据 
Hello! 


数据 | #2!1@d* #21@d*&] 
Hello! —Ó 
| We 4 + 
数字 证 书 数字 证 书 H|~ Ss 
- 用 户 A 公 钥 
用 户 A 私 钥 SS 


图 5-7 使 用 数字 签名 保护 数据 完整 性 
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在 网 络 通信 中 ,为 将 用 户 密 钥 与 用 户 真 实 社会 身份 结合 起 来 ,引入 了 数字 证 书 技术 。 

数字 证 书 技术 的 核心 是 基于 非 对 称 加 密 技 术 的 “信任 传递 机制 ,也 被 称 为 PKI( 公 开 
密 钥 基础 设施 ).“ 信 任 传递 "机制 的 原理 是 : 通信 双方 都 信赖 CA(Certificate Authority, 
认证 中 心 ,可 信 第 三 方 ), 则 由 CA 进行 数字 签名 的 信息 (用 户 身份 信息 十 用 户 公 钥 ) 是 可 
信 的 。 数 字 证 书 就 是 一 串 包 含 用 户 身份 信息 .用 户 公 钥 和 CA 数字 签名 的 数字 ,其 主要 内 
容 如 下 。 

。 证 书 序列 号 。 

。 证 书 颁发 机 构 名 称 。 

。 证 书 申请 者 的 名 称 ,组织 机 构 信息 或 者 IP 地 址 等 信息 。 

。 证 书 申请 者 的 公 钥 。 

。 证 书 颁发 机 构 对 以 上 信息 所 做 的 数字 签名 。 

获得 数字 证 书 和 验证 数字 证 书 的 过 程 如 图 5-8 所 示 。 


CA 
四 © 


证 书 验证 应 答 


p © 
® 
用 户 A 的 数字 证 书 
证 书 申请 ; 
用 户 A 公 钥 . 
用 户 身份 信息 @ 
G 证 书 验 证 请 求 


- | 用 户 A 的 数字 证 书 
用 户 A 一 用 户 B 


图 5-8 验证 数字 证 书 


Q 用 户 A 生成 自己 的 非 对 称 密 钥 对 (Key-private, Key-public); 用 户 A 将 非 对 称 密 
钥 对 中 的 公 钥 Key-public 和 自己 的 身份 信息 提供 给 第 三 方 认证 机 构 CA; CA 核对 用 户 
身份 信息 是 否 属实 ; CA 用 自己 的 私 钥 对 用 户 身 份 信息 和 用 户 公 钥 进行 加 密 , 生 成 数字 签 
名 ,证 明 这 些 信息 已 经 被 自己 认可 。 

© CA 制作 用 户 A 的 数字 证 书 , 并 将 证 书 制作 信息 保存 在 其 数据 库 中 ,然后 将 制作 
好 的 数字 证 书 发 送 给 用 户 A。 

© HP A 将 自己 的 数字 证 书 发 送 给 用 户 BORE B 也 可 以 通过 其 他 方式 获取 用 户 A 
的 数字 证 书 )。 

CD HP B 收 到 数字 证 书 , 但 希望 能 证 明 该 数字 证 书 是 否 真 实 有 效 , 因 此 向 颁发 证 书 
的 CA 发 出 验证 请 求 。 

© CA 根据 证 书 序列 号 在 证 书 数据 库 中 查找 有 关 记 录 , 检 查 用 户 A 数字 证 书 中 的 数 
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字 签 名 是 否 由 自己 签发 .用户 A 的 数字 证 书 是 否 已 经 过 期 等 ,并 向 用 户 B 返 回 检查 结果 。 


3. 认证 技术 

认证 是 对 通信 用 户 身 份 进行 确定 的 过 程 。VPN 对 等 体 在 建立 安全 隧道 前 先 要 彼此 
进行 认证 ,其 所 使 用 的 认证 方式 主要 有 以 下 3 种 。 

(OD 预 共 享 密 钥 。 

(2) RSA 加 密 随 机 数 。 

(3) 数字 签名 。 


4. VPN 种 类 

根据 不 同 因素 ,可 以 对 实现 VPN 的 技术 进行 多 种 分 类 。 

根据 是 否 对 通信 进行 加 密 , 分 为 加 密 VPN 和 非 加 密 VPN. 

。 典型 的 加 密 VPN 有 IPSec、SSL 加 密 。 

。 典型 的 非 加 密 VPN 有 GRE、MPLS VPN. 

限于 篇 幅 , 本 书 仅 选择 介绍 工程 中 应 用 最 多 的 IPSec VPN. 

根据 VPN 拓扑 形式 不 同 ,VPN 又 分 为 站 到 站 的 VPN 和 远程 访问 VPN 两 种 。 

。 站 到 站 VPN 也 称 为 网 络 到 网 络 VPN. VPN 安全 隧道 两 端 连接 的 设备 功能 对 等 ， 
建立 安全 隧道 时 需要 远 端 对 等 体 的 IP 地 址 。 站 到 站 VPN 常 在 两 个 网 络 的 边界 
路 由 器 上 配置 。 

。 当 用 户 使 用 Internet 线路 访问 公司 网 络 时 ,一般 IP 地 址 不 固定 ,无 法 使 用 站 到 站 
方式 ,根据 站 点 IP 地 址 建立 安全 关联 ; 同时 对 用 户 的 配置 要 求 过 多 。 远 程 访问 
VPN 可 以 解决 这 一 问题 。 根 据 发 起 VPN 连接 者 不 同 , 远 程 访问 VPN 又 分 为 客 
户 端 发 起 .NAS 发 起 两 种 。 客 户 端 发 起 VPN ,是 指 用 户 使 用 一 个 VPN 客户 端 或 
Web 浏览 器 在 公 网 上 建立 到 达 公 司 网 络 VPN 安全 隧道 NAS 发 起 VPN ,是 指 
用 户 首先 氢 入 一 个 ISP 网 络 接 入 服务 器 (NAS) ,然后 由 NAS 建立 一 条 到 达 公 司 
网 络 安全 隧道 , 即 VPN 连接 是 由 NAS 代为 发 起 的 。 这 种 隧道 可 以 支持 由 远程 用 
户 发 起 的 多 个 会 话 。 

5.2.2 IPSec VPN 
IPSec (IP Security,IP 安全 ) 是 一 个 安全 框架 ,定义 了 一 套 保 护 OSI 模型 第 三 层 IP 
流量 的 协议 。 主 要 包括 以 下 内 容 。 

。 建立 安全 隧道 前 协商 安全 隧道 各 项 参数 的 协议 ,如 ISAKMP AI IKE, 

。 安全 隧道 本 身 使 用 的 数据 封装 协议 ,如 ESP、AH。 


1. IPSec 模式 

在 IPSec 中 ,定义 了 以 下 两 种 传输 数据 的 模式 。 

。 隧道 模式 (tunnel) : 保护 网 络 到 网 络 间 的 IP 流量 ,如 图 5-9 所 示 。 

* 传输 模式 (transport) : 保护 主机 间或 端 到 端的 流量 ,如 图 5-10 所 示 。 

隧道 模式 在 两 个 网 络 间 建立 IPSec 隧道 ,所 有 经 过 IPSec 对 等 体 (图 5-9 中 两 个 网 络 
的 边界 路 由 器 被 配置 为 IPSec 对 等 体 ) 进 入 隧道 的 TP 报 文 , 先 被 整个 加 密 , 然 后 被 封装 上 
一 个 新 IP 报头 ,最 后 在 新 IP 报头 后 插入 添加 IPSec 头 ,如 图 5-11 所 示 。 
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IPSec 对 等 体 IPSec 对 等 体 
站 点 1 站 点 2 
1 

数据 一 IPSechii Qe 数据 


5-9 IPSec 隧道 模式 


IPSec 对 等 体 IPSec 对 等 体 
站 点 1 站 点 2 
e c w* 5 

1 L 
数据 上 人 à IPSec 隧道 ! 一 | 数据 

i i 

图 5-10 IPSec 传输 模式 
上 1 
IP 报 头 数据 | 原 IP 报 文 

I 1 

| | ! 
新 IP 报 头 IPSec 头 IP 报 头 数据 IPSec 封 装 后 的 IP 报 文 


图 5-11 隧道 模式 报 文 结构 


传输 模式 在 两 个 主机 间 建 立 IPSec 隧道 ,所 有 经 过 对 等 体 ( 图 5-10 中 两 台 主 机 被 配 
置 为 IPSec 对 等 体 ) 进 入 隧道 的 IP 报 文 ,IP 报头 不 改变 ,IP 报头 后 被 插入 一 个 IPSec 报 
头 ,IP 报 文 上 层 协 议 数据 被 单独 加 密 , 如 图 5-12 所 示 。 


IP 报 头 数据 原 IP 报 文 
vl Pd 1 
pd p uu ls ; 
一 Ld 1 1 
IPH IPSec 头 数据 IPSec 封装 后 的 IP 报 文 


1 1 


图 5-12 传输 模式 报 文 结构 


2. IPSec 封装 协议 
IPSec 有 两 种 封装 协议 : ESP(Encapsulating Security Payload, 封 装 安全 载荷 ) 协 议 
和 AH(Authentication Header, 认 证 头 ) 协 议 。 
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CD AH 协议 
AH 协议 的 人 P 协 议 号 为 51, 它 提供 报 文 验证 \ 完 整 性 保证 及 重 放 探测 /保护 等 安全 服 
务 , 但 不 提供 机 密 性 和 加 密 。 图 5-13 所 示 为 AH 报头 结构 。 


0 78 15 16 24 25 31 
下 一 报头 协议 号 | AH 载荷 长 度 保留 部 分 (0) 
安全 参数 索引 SPI 
序列 号 
验证 数据 


图 5-13 AH 报头 结构 


CD 如 图 5-14(a) 所 示 ,AH 报头 作为 IPSec 报头 ,插入 在 IP 报头 与 IP 数据 字段 间 ， 
AH 报头 中 的 “下 一 报头 协议 号 ”用 于 指定 IP 数据 字段 中 上 一 层 协议 的 协议 号 。 例 如 ,如 
果 IP 数据 字段 中 是 TCP 协议 报 文 , 则 此 处 为 6。 

© “AH 载荷 长 度 ” 定 义 整个 AH 报头 的 长 度 , 最 小 为 2, 以 32bit 为 单位 。 

加 “保留 部 分 ?为 16bit, 默 认为 全 0。 

@@“ 安 全 参数 索引 SPI” 为 该 报 文 使 用 的 SACSecurity Association ,安全 关联 ) 标 识 。 

@“ 序 列 号 ”可 以 防止 重 放 攻击 。 

© “验证 数据 ”(Integrity Check Value, ICV ,完整 性 验证 值 ) 部 分 存放 AH 对 以 下 几 
部 分 信息 的 验证 值 。 


。 IP 报头 。 
。 AH 报头 ,其 中 验证 数据 部 分 在 计算 时 置 0。 
。 上 层 协议 数据 。 


在 不 同 传输 模式 下 ,AH 验证 范围 如 图 5-14 所 示 。 


新 IP 报关 | Ank | E Pik | Aux || 数据 
1 1 1 
| 验证 数据 E 验证 数据 i 


(a) 隧道 模式 AH 验证 范围 (b) 传输 模式 AH 验证 范围 


5-14 AH 验证 范围 示意 图 


注意 : 由 于 AH 对 IP 报 文 整体 进行 验证 ,包括 IP 报头 中 的 IP 地 址 ,所 以 在 AH 协 
议 封装 的 VPN 隧道 上 使 用 地 址 转换 时 ,会 出 现 验证 错误 。 

(2) ESP 协议 

ESP 协议 的 IP 协议 号 为 50。ESP 协议 可 以 提供 数据 机 密 性 、 完 整 性 和 真实 性 、 反 重 
放 保证 等 安全 服务 。 图 5-15 显示 了 ESP 协议 封装 结构 。 

使 用 ESP 协议 重新 封装 IP 报 文 时 ,结构 比较 复杂 一 些 。 图 5-16 和 图 5-17 显示 了 不 
同 模式 下 ESP 重新 封装 IP 报 文 的 结构 以 及 ESP 加 密 、 验 证 处 理 的 范围 。 


A 
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安全 参数 索引 SPI 


序列 号 


一 一 ESP 头 


填充 .… 填充 长 度 下 一 报头 协 


议 号 = 一 ESP 尾 


验证 数据 .… 


图 5-15 ESP 协议 报 文 封装 结构 


新 IP 报 头 | ESP 头 IP 报 头 数据 ESP 尾 


ESP ICV 


me 加 密 部 分 


| 
| 

| 

- 验证 部 分 


aa ieee 


图 5-16 ”隧道 模式 ESP 封装 及 机 密 验 证 范围 


ip 报头 “| EsP 头 数据 | ESsP 尾 [esPicv| 


| | 一 一 | 加 密 部 分 | =， 
| i 1 
| 


1 
me 一 一 一 | 验证 部 分 
1 1 


图 5-17 传输 模式 ESP 封装 及 机 密 验 证 范围 


(3) AH 与 ESP 协议 的 选用 
由 于 AH 不 提供 对 通信 数据 进行 加 密 的 服务 ,所 以 一 般 不 会 单独 使 用 AH, 而 是 与 
ESP 一 同 配合 使 用 ,如 表 5-3 所 示 。 在 配置 IPSec VPN 时 ,可 以 参考 该 表 选 择 恰当 的 安 


全 参数 选项 。 
表 5-3 IPSec 封装 协议 选项 
选择 1 选择 2 
封装 协议 ESP AH+ESP 
加 密 算法 DES 3DES 
散 列 算法 MD5 SHA 
密 钥 交换 算法 (D-H 算法 ) DH1 DH2 


3. IPSec 密 钥 决 策 和 密 钥 交 换 机 制 
IPSec VPN 中 可 以 对 通信 数据 进行 加 密 , 因 此 在 IPSec VPN 隧道 建立 前 ,需要 解决 
对 等 体 识别 、 密 钥 协 商 和 密 钥 交换 问题 。IPSec 使 用 ISAKMP 和 IKE 两 个 协议 来 解决 此 


问题 。 
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(1) ISAKMP 

ISAKMP(Internet Security Association and Key Management Protocol, Internet 安 
全 关联 和 密 钥 管理 协议 ) 描 述 了 密 钥 管 理 的 框架 ,并 定义 了 建立 .协商 、 修 正和 删除 安全 关 
联 SA 的 程序 和 分 组 格式 。SA 是 VPN 中 两 个 对 等 体 间 使 用 的 安全 策略 ,包含 对 等 体 间 
传输 安全 协议 报 文 所 需 的 安全 参数 。 

注意 : ISAKMP 提供 了 对 等 体 识别 和 建立 SA 功能 ,但 不 提供 密 钥 交换 机 制 。 

(2) IKE 

IKE(Internet Key Exchange, Internet 密 钥 交换 ) 协 议 是 一 个 组 合 了 ISAKMP, 
Oakley 密 钥 转换 和 SKEME 等 协议 的 混合 型 协议 ,定义 了 对 等 体 识别 和 密 钥 交换 机 制 。 
IKE 协议 使 用 UDP 500 端口 通信 。 

IKE 定义 了 一 个 两 阶段 工作 模型 。 第 1 阶段 先 在 对 等 体 间 建 立 一 个 用 来 交换 管理 信 
息 的 安全 通道 ISAKMP SA; 第 2 阶段 在 第 1 阶段 建立 的 安全 通道 上 交换 信息 ,并 最 终 在 
对 等 体 间 建 立 真正 用 于 传输 业务 数据 的 安全 通道 IPSec SA。 

第 1 阶段 IKE 协商 的 主要 内 容 如 下 。 

。 第 1 阶段 使 用 的 加 密 、 散 列 算法 。 

。 使 用 D-H 算法 生成 的 会 话 密 钥 。 

。 验证 方法 。 

。 第 2 阶段 使 用 的 密 钥 。 

IKE 第 1 阶段 通信 可 以 选择 使 用 主 模式 或 者 野蛮 模式 进行 。 野 蛮 模 式 比 主 模式 快 ， 
但 安全 性 不 如 主 模式 。 图 5-18 显示 了 使 用 主 模式 的 IKE 第 1 阶段 协商 过 程 ,图 5-19 显 
示 了 使 用 野蛮 模式 的 IKE 第 1 阶段 协商 过 程 。 


IPSec 对 等 体 IPSec 对 等 体 
站 点 1 站 点 2 


(| IKE 报 头 SA 


- 


© 


IKEA | SA 


O| IKE 报 头 | 当前 时 间 | wA 


e| en | 当前 时 间 | 密 铀 


exem m | mm | 签名 


@| KE 报头 | m | uem] 签名 


图 5-18 主 模式 协商 过 程 示意 图 
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IPSec 对 等 体 IPSec 对 等 体 
站 点 1 站 点 2 


@] KE 报头 | SA | [EH] 


当前 时 间 | ID 


[2] IKE 报 头 | SA | [ 密 钥 ] | 当前 时 间 | ID 


e| Kes | mo | 等 名 I 


图 5-19 野蛮 模式 协商 过 程 示意 图 


CD 站 点 1 从 本 地 配置 的 ISAKMP/IKE 策略 中 选择 一 个 策略 ,发送 给 站 点 2。 其 中 
包括 加 密 与 验证 使 用 的 算法 ,如 3DES、MD5、RSA 4. ISAKMP/IKE 策略 中 定义 了 创建 
第 1 阶段 ISAKMP SA 的 有 关 参 数 。 

@ 站 点 2 从 本 地 配置 的 IKE 策略 中 查找 匹配 的 策略 ,并 返回 是 接受 还 是 拒绝 站 点 1 
发 出 策略 的 响应 。 如 果 站 点 2 接受 了 站 点 1 策略 , 则 进入 下 一 步 。 

以 上 两 步 主 要 用 于 协商 建立 安全 通道 所 用 的 算法 等 。 

O~ 站 点 1、 站 点 2 使 用 D-H 算法 交换 密 钥 。 

回 一 @ 站 点 1、 站 点 2 发 送 数字 证 书 、 签 名 等 进行 对 等 体 身份 认证 ,同时 将 其 他 SA 
参数 发 送 给 对 方 。 

D~O 站 点 1、 站 点 2 间 进 行 密 钥 交换 ,并 协商 建立 ISAKMP SA 的 参数 。 

@ 站 点 1 向 站 点 2 对 等 体 进行 身份 认证 。 

IKE 第 2 阶段 使 用 快速 模式 在 对 等 体 间 进行 协商 ,建立 数据 传输 的 IPSec SA, 第 2 
阶段 协商 的 内 容 如 下 。 

。 通信 隧道 封装 协议 (ESP 或 AH). 

。 ESP、AH 中 使 用 的 加 密 、 散 列 算法 (DES、3DES、AES、SHA 等 )。 

。 要 保护 的 网 络 或 IP 流量 。 

。 协商 可 选 的 密 钥 参数 。 

IKE 第 2 阶段 协商 过 程 如 图 5-20 所 示 。 


IPSec 对 等 体 IPSec 对 等 体 
站 点 1 站 点 2 
@| KE 报头 | aor | SA | 封装 协议 等 | 密 钥 | ID 
ken | my | sa SPI 密 钥 | ID 
加 | KE 报头 | 散 列 I 


5-20 IKE 快速 模式 协商 过 程 示意 图 
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4. IPSec VPN 运行 步骤 > 
IPSec VPN 的 运行 分 为 以 下 5 个 工作 步 又。 

(1) 当 被 指定 受 VPN 保护 的 流量 经 过 网 络 设备 时 ,网 络 设备 被 触发 建立 VPN 安全 

隧道 。 

ER. 由 于 加 密 、 解 密 运算 非常 耗费 网 络 通 信 设 备 的 资源 ; 加 密 、 解 密 处 理 也 增加 了 

通信 处 理 环节 ,加 大 了 数据 传输 时 延 , 因 此 只 加 密 、 解 密 需 要 保护 的 数据 ,是 规划 和 设计 

VPN 实施 方案 时 必须 考虑 的 内 容 。 

(2) 网 络 设备 根据 VPN 配置 ,作为 对 等 体 与 另 一 远 端 对 等 体 进行 IKE 第 1 阶段 协 

商 ,建立 一 条 ISAKMP SA 安全 连接 通道 ,用 于 保护 第 2 阶段 IKE 协商 。 

(3) 网 络 设 备 作 为 对 等 体 在 已 建立 的 ISAKMP SA 安全 连接 通道 上 协商 建立 

IPSec SA, 

(4) 网 络 设备 作为 对 等 体 在 已 建立 的 IPSec SA 上 传输 数据 ,按照 协商 的 定义 ,使 用 

ESP, AH 协议 处 理 通信 数据 。 

(5) 在 IPSec 隧道 终结 时 ,删除 或 终结 IPSec SA ,释放 资源 。 


5.3 IPSec VPN 配置 


根据 前 述 对 IPSec 主要 构成 技术 及 运行 步骤 介绍 不 难 发 现 ,要 构建 IPSec VPN ,一 定 
需要 配置 以 下 儿 项 内 容 。 

。 在 哪些 网 络 .主机 间 建 立 IPSec VPN 安全 隧道 。 

。 建立 ISAKMP SA 所 需 的 各 项 参数 。 

* 建立 IPSec SA 所 需 的 各 项 参数 。 

* 将 IPSec SA 与 所 要 保护 的 网 络 .主机 绑 定 在 一 起 。 

。 指定 网 络 设备 哪个 接口 来 处 理 IPSec VPN. 
5.3.1 站 到 站 VPN 配置 

配置 站 到 站 VPN ,需要 在 两 端 对 等 体 上 同时 配置 相 匹 配 的 ISAKMP SA 和 IPSec 
SA 的 参数 , 当 使 用 预 共享 密 钥 进行 认证 时 ,还 需要 在 两 个 对 等 体 上 配置 相同 的 预 共享 
密 钥 。 

在 Cisco IOS 路 由 器 上 配置 预 共享 密 钥 站 到 站 VPN 的 步骤 如 表 5-4 所 示 o 


表 5-4 预 共享 密 钥 站 到 站 VPN 配置 步骤 


序 号 操 ff 相关 命令 必要 


"PT ir dic Ea lo M d dos D T 3 


crypto isakmp policy 及 其 子 命令 group, 
authentication encryption hash. lifetime 

步骤 3 | 定义 对 等 体 间 预 共享 密 钥 crypto isakmp key 是 
步骤 4 | 定义 建立 IPSec SA 所 需 的 各 项 参数 crypto ipsec transform-set 是 


步骤 2 | 定义 建立 ISAKMP SA 所 需 的 各 项 参数 


/i 


/ 
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续 表 
序 号 Ro fF 相关 命令 必要 
步骤 5 | 定义 受到 VPN 保护 的 流量 ip access-list 或 access-list 是 
m 定义 加 密 图 ,将 安全 策略 与 要 保护 的 对 象 绑 Sails, aes 是 


定 在 一 起 ; 定义 IPSec SA 所 需 的 其 他 参数 
步骤 7 | 将 加 密 图 应 用 到 正确 接口 上 接口 模式 下 的 crypto map. 是 
show crypto isakmp policy 
show crypto ipsec transform-set 
步骤 8 | 检查 VPN 配置 Mew eap Sine an 
Show crypto map 
debug crypto ipsec 
debug crypto isakmp 


1. 定义 建立 ISAKMP SA 所 需 的 各 项 参数 

Cisco 网 络 设备 将 建立 ISAKMP SA 所 需 各 项 参数 保存 在 一 个 称 为 "ISAKMP 策略 ”的 
数据 结构 中 。 因 此 ,定义 这 些 参 数 的 操作 就 是 定义 一 个 ISAKMP 策略 。 

在 Cisco IOS 路 由 器 上 ,定义 一 个 ISAKMP 策略 的 操作 是 在 全 局 配置 模式 下 输入 : 

erypto isakmp policy ISAKMP/IKE 策略 优先 级 

然后 在 其 子 模式 下 输入 子 命令 : 


group 1|12|5 

authentication ”认证 方式 

encryption ”加 密 算法 

hash 散 列 算法 

lifetime ”ISAKMP SA 生存 时 间 

“ISAKMP/IKE 策略 优先 级 ”参数 : 在 Cisco 网 络 设 备 上 可 以 配置 多 个 ISAKMP/IKE 
策略 , 供 协商 时 选用 。 网 络 设备 会 根据 ISAKMP/IKE 策略 优先 级 顺序 依次 将 其 发 送 到 远 端 
对 等 体 进行 协商 。 由 于 只 有 两 端 对 等 体 ISAKMP/IKE 策略 一 致 ,才能 建立 ISAKMP SA, JA 
而 进入 IKE 第 2 阶段 。 所 以 在 配置 站 到 站 VPN 时 ,必须 保证 至 少 能 在 本 地 找到 一 个 
ISAKMP/IKE 策略 。 如 果 对 等 体 上 自 定义 的 ISAKMP 策略 都 协商 失败 , 则 系统 还 会 尝试 使 
用 默认 的 ISAKMP 策略 进行 协商 。 

group 子 命令 用 于 定义 进行 安全 参数 协商 时 ,使 用 哪 种 D-H 算法 交换 通信 密 钥 ,可 以 选 
TE 1,2 或 者 5。 该 值 取 自 于 IPSec 框架 中 关于 D-H 算法 的 有 关 定 义 。D-H 算法 以 一 个 素数 
作为 计算 基础 ,p 越 大 ,破解 其 交换 的 密 钥 的 难度 越 大 。 素 数 p 长 度 可 以 为 768bit、 
1024bit、1536bit 等 ,在 IPSec 框架 中 被 分 别 定 义 为 DH 组 1.DH 组 2.D-H 组 5。 可 见 选 用 
的 D-H 组 号 越 大 ,保护 密 钥 能 力 越 强 ,但 相应 计算 的 速度 会 越 慢 。 

authentication 子 命 令 用 于 定义 使 用 哪 种 方式 进行 对 等 体 身份 认证 。 如 前 所 述 , 有 3 个 
选项 : 预 共享 密 钥 方式 pre-share、RSA 加 密 随 机 数 方式 rsa-encr 和 RSA 数字 签名 方式 
rsa-sig。 使 用 预 共享 密 钥 方式 时 ,选择 pre-share。 
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encryption 子 命令 用 于 定义 使 用 哪 种 加 密 算法 加 密 IKE 第 1 阶段 协商 过 程 中 对 等 体 间 
的 通信 ,可 以 选择 des、3des 或 者 aes。 

hash 子 命令 用 于 定义 使 用 哪 种 散 列 算法 对 IKE 第 1 阶段 对 等 体 间 的 通信 进行 完整 性 
保证 。 可 以 选择 md5 或 者 sha。 

lifetime 子 命令 用 于 定义 ISAKMP SA 的 生存 时 间 。 单 位 为 秒 , 取 值 范围 为 60 一 86400。 

例如 ,创建 优先 级 为 100 的 ISAKMP/IKE 策略 ,使 用 DES 加 密 算法 .MD5 散 列 算法 、 预 
共享 密 钥 方式 进行 对 等 体 间 认 证 ,使 用 768bit D-H 算法 和 默认 的 SA 生存 时 间 , 则 可 以 如 下 
操作 。 

RO(config) # crypto isakmp policy 100 

RO(config-isakmp) # encryption des 

RO(config-isakmp) # hash mds 

RO(config-isakmp) # authentication pre-share 

R0(config-isakmp) group 1 

RO(config-isakmp) # lifetime 86400 


2. 定义 预 共享 密 钥 

在 Cisco IOS 路 由 器 上 ,定义 预 共 享 密 钥 的 操作 是 在 全 局 配置 模式 下 输入 : 

crypto isakmp key ” 预 共 享 密 钥 [ address 远 端 对 等 体 IP 地址 远 端 对 等 体 子 网 掩 码 | 

hostname 远 端 对 等 体 主机 名 ] 

参数 “ 远 端 对 等 体 TP 地 址 ”或 参数 “ 远 端 对 等 体 主机 名 ”用 于 定义 该 密 钥 在 与 对 等 体 间 
建立 安全 隧道 时 使 用 。 

例如 ,在 模拟 分 公司 边界 路 由 器 上 配置 到 分 支 机 构 B-1 站 到 站 VPN 时 ,如 果 与 分 支 机 
构 B-1 对 等 体 间 认证 使 用 的 密 钥 是 “@-B-!” ,分支 机 构 B-1 端 接口 IP 为 200. 100. 15. 205, 则 
配置 预 共享 密 钥 的 操作 是 : 


ROCconfig) # crypto isakmp key @-B-! address 200. 100. 15. 205 


3. 定义 建立 IPSec SA 所 需 各 项 参数 

在 Cisco IOS 路 由 器 上 ,定义 IKE 第 2 阶段 各 项 安全 参数 的 操作 是 在 全 局 配置 模式 下 
输入 : 

crypto ipsec transform-set ”变换 集 名 (ESP 加 密 算法 及 参数 ”| ”ESP 验证 算法 | AH 验证 

Be) C.J 

IKE 第 2 阶段 需要 定义 建立 IPSec SA 的 有 关 参 数 , 如 封装 协议 等 。 由 于 是 将 原 IP 
报 文 变换 为 IPSec 报 文 ,所 以 IPSec 中 将 此 部 分 参数 的 集合 称 为 “变换 集 ”。 

参数 “变换 集 名 ?是 一 串 字 符 串 ,必须 以 字母 开头 ,用 于 定义 该 变换 集 在 网 络 设备 上 的 
唯一 标识 。 

在 定义 IPSec SA 时 ,可 根据 实际 需要 选择 是 否 进行 加 密 和 验证 。 如 前 所 述 ,VPN 隧 
道 可 以 使 用 AH 封装 ,也 可 以 使 用 AH + ESP 封装 ,所 以 可 以 在 一 个 加 密集 中 同时 定义 
AH 验证 算法 `ESP 加 密 算法 和 ESP 验证 算法 。 各 算法 参数 可 用 值 如 表 5-5 所 示 。 


IB 
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表 5-5 网 络 设备 支持 的 AH、ESP 算法 


算 法 可 用 值 * X 
使 用 AH 协议 封装 IP 报 文 , 并 使 用 基于 MDS 的 HMAC 作为 验 
ah-md5-hmac 
AH 验证 算法 ORE 
使 用 AH 协议 封装 IP 报 文 ,并 使 用 基于 SHA 的 HMAC 作为 验 
ah-sha-hmac M 
证 算法 
esp-3des 使 用 ESP 协议 封装 IP RIC ,并 使 用 3DES 作为 加 密 算法 


使 用 ESP 协议 封装 耳 报 文 , 并 使 用 AES 作为 加 密 算法 。 选 择 此 加 


全 | cairats 密 算法 时 ,可 以 选择 使 用 128bit、192bit 还 是 256bit 长 度 的 密 钥 


esp-des 使 用 ESP 协议 封装 IP 报 文 ,并 使 用 DES 作为 加 密 算法 
使 用 ESP 协议 封装 IP 报 文 ,并 使 用 基于 MD5 的 HMAC 作为 验 
esp-md5-hmac 证 算法 
ESP ij 
acte 使 用 ESP 协议 封装 IP 报 文 ,并 使 用 基于 SHA 的 HMAC 作为 验 
esp-sha-hmac 证 算法 


例如 ,如 果 要 使 用 AH 十 ESP 封装 IP 报 文 , 且 AH、ESP 均 使 用 SHA 作为 验证 算法 ， 
ESP 使 用 128bit AES 加 密 算法 , 则 可 以 如 下 操作 定义 一 个 名 为 12b 的 变换 集 。 


RO(config) # crypto ipsec transform-set 12b esp-sha-hmac ah-sha-hmac esp-aes 128 


输入 “变换 集 ” 命 令 后 ,会 进入 其 子 命令 模式 ,此 时 可 以 输入 如 下 命令 来 定义 IPSec 对 
等 体 的 工作 模式 。 


mode transport | tunnel 


使 用 关键 字 transport 将 定义 该 IPSec SA 使 用 传输 模式 ,使 用 关键 字 tunnel 则 将 定 
义 该 IPSec SA 使 用 隧道 模式 。 

4. 定义 受 VPN 保护 的 流量 

在 使 用 访问 控制 列表 定义 受 VPN 保护 的 地 址 范围 时 ,ACL 中 permit 的 IP 报 文 会 
受到 VPN 保护 。 

注意 : 一 旦 定义 了 某 部 分 流量 受到 VPN 保护 , 则 当 本 地 对 等 体 从 远 端 收 到 没有 受到 
VPN 保护 的 这 部 分 流量 时 ,就 会 将 其 丢弃 ,所 以 需 谨 慎 配 置 。 

例如 ,在 模拟 分 公司 1 边界 路 由 器 和 分 支 机 构 B-1 边界 路 由 器 上 配置 站 到 站 VPN 时 ， 
如 果 要 求 所 有 模拟 分 公司 1 网 络 200. 100. 12. 0/24 与 分 支 机 构 B-1 网 络 200. 100. 15. 0/26 
间 的 所 有 通信 都 经 站 到 站 IPSec VPN 保护 , 则 可 如 下 配置 对 等 体 上 受 保护 的 流量 。 

(1) 在 分 公司 1 边界 路 由 器 上 配置 保护 流量 的 ACL。 


RO(config) # ip access-list extended eacl-vpn-12b 
RO (config-ext-nacl) # permit ip 200.100.12.0 0.0.0.255 200.100.15.0 0.0.0.63 


(2) 在 分 支 机 构 B-1 边界 路 由 器 上 配置 保护 流量 的 ACL. 


Rl(config) # ip access-list extended  eacl-vpn-b21 
R1 (config-ext-nacl) # permit ip 200.100.15.0 0.0.0.63 200.100.12.0 0.0.0. 255 
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如 上 所 示 ,两 个 边界 路 由 器 上 配置 的 ACL 是 对 称 的 。 

在 分 支 机 构 B-1 内 部 使 用 了 地 址 转换 时 ,注意 一 定 要 使 用 ESP 而 不 是 AH 协议 作为 
VPN 隧道 的 封装 协议 。 巾 于 地 址 转换 会 改变 TP 报头 ,而 AH 协议 要 求 对 整个 报 文 进行 
验证 ,所 以 如 果 地 址 转换 发 生 在 AH 产生 验证 前 的 情况 下 ,会 出 现 校 验 错误 。 


5. 定义 加 密 图 
在 Cisco IOS 路 由 器 上 ,定义 加 密 图 的 操作 是 在 全 局 配置 模式 下 输入 : 


crypto map 加密 图 名 加密 图 条 目 序 号 ipsec-isakmp | ipsec-manual 


该 命令 将 创建 一 个 指定 名 称 的 加 密 图 ,并 进入 指定 加 密 图 条 目的 子 命令 配置 模式 。 

参数 “加 密 图 名 ”用 于 指定 加 密 图 在 网 络 设备 上 的 唯一 标识 。 

参数 “加 密 图 条 目 序号 ”用 于 指定 当前 对 哪 条 加 密 图 条 目 进行 编辑 ,编号 范围 为 
15765535, 

关键 字 ipsec-isakmp 用 于 指定 该 加 密 图 条 目 是 由 ISAKMP/IKE 自动 协商 的 。 在 该 
加 密 图 条 目 没有 将 对 等 体 和 被 VPN 保护 的 流量 范围 绑 定 在 一 起 时 ,该 加 密 图 条 目 不 会 
生效 。 

关键 字 ipsec-manual 用 于 指定 该 加 密 图 条 目 是 手工 形成 的 。 

Cisco IOS 路 由 器 的 一 个 接口 上 只 能 应 用 一 个 加 密 图 , 当 需 要 在 一 个 接口 上 建立 多 个 
VPN 安全 隧道 时 ,需要 通过 在 一 个 加 密 图 中 定义 多 个 加 密 图 条 目 实 现 。 注 意 ,加 密 图 条 
目的 顺序 很 重要 ,序号 越 小 ,优先 级 越 高 。 

一 旦 进入 加 密 图 条 目 子 命令 配置 模式 ,需要 输入 以 下 命令 来 将 前 面 所 定义 的 IPSec 
SA 和 被 保护 流量 绑 定 在 一 起 。 

set peer ”IP 地 址 | 主机 名 

set  transform-set ”变换 集 名 

match address ACL% | ACL 号 

set peer 子 命令 用 于 配置 远 端 对 等 体 地 址 。 

set transform-set 子 命令 用 于 指定 该 加 密 图 条 目 绑 定 哪个 变换 集 。 

match address 子 命令 用 于 指定 该 加 密 图 条 目 保护 哪个 ACL 定义 的 流量 。 

例如 ,在 模拟 分 公司 1 边界 路 由 器 上 配置 到 分 支 机 构 B-1 站 到 站 VPN 时 ,如 果 如 
前 配置 了 变换 集 名 为 12b, ACL 429 eacl-vpn-12b. 4} X BLEJ B-1 对 等 体 IP 地 址 为 
200. 100. 15. 205, 则 在 分 公司 1 上 创建 相应 加 密 图 条 目的 操作 为 : 


VPN-Ser(config) # crypto map 12b 100 ipsec-isakmp 
VPN-Ser(config-crypto-map) # set peer 200.100.15.205 
VPN-Ser(config-crypto-map) #set transform-set 12b 
VPN-Ser(config-crypto-map) # match address  eacl-vpn-12b 


6. 将 加 密 图 应 用 到 接口 上 
加 密 图 只 有 应 用 在 接口 上 才能 生效 。 加 密 图 应 配置 在 作为 IPSec VPN 隧道 端点 的 
接口 上 ,一 般 为 边界 路 由 器 连接 外 部 网 络 的 接口 。 加 密 图 应 用 时 ,不 用 指定 方向 。 
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在 Cisco IOS 路 由 器 上 ,将 加 密 图 应 用 到 接口 的 操作 是 在 接口 配置 模式 下 输入 : 
crypto map 加密 图 名 
一 旦 将 某 个 加 密 图 应 用 在 路 由 器 某 接口 上 ,路 由 器 会 显示 如 下 所 示 提 示人 信息, 提示 已 


经 打开 了 ISAKMP 进行 协商 。 


* Mar 103:14:49.371: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON 


7. 检查 VPN 配置 
在 Cisco IOS 路 由 器 上 完成 VPN 的 配置 后 ,进入 特权 配置 模式 下 ,使 用 如 下 命令 可 


以 检查 有 关 ISAKMP SA IPSec SA 的 参数 以 及 加 密 图 的 配置 应 用 是 否 正确 。 


show crypto isakmp policy 
show crypto ipsec transform-set 
show crypto map 


例如 ,使 用 show crypto isakmp policy 命令 的 操作 及 显示 结果 如 下 所 示 。 


rO# show crypto isakmp policy 


Global IKE policy 
Protection suite of priority 1 [0] 
encryption algorithm: | DES - Data Encryption Standard (56 bit keys). 
hash algorithm; Message Digest 5 
authentication method; Pre-Shared Key 
Diffie Hellman group: #1 (768 bit) 
lifetime; 86400 seconds, no volume limit 
Default protection suite Q 
encryption algorithm; | DES - Data Encryption Standard (56 bit keys). 
hash algorithm: Secure Hash Standard 
authentication method: Rivest-Shamir-Adleman Signature 
Diffie Hellman group: #1 (768 bit) 


lifetime: 86400 seconds. no volume limit 


其 中 : 
D 显示 了 一 个 优先 级 为 1 的 ISAKMP/IKE 策略 内 容 ,该 策略 各 项 参数 含义 如 表 5-6 


所 示 。 


@ 显示 了 系统 默认 ISAKMP/IKE 策略 内 容 。 


表 5-6 ISAKMP/IKE 策略 示例 


5 "X 参数 值 参 数 参数 值 


加 密 算法 encryption algorithm 


DES 


D-H 算法 组 Diffie-Hellman group 


散 列 算法 hash algorithm 


MD5 


SA 生存 时 间 


认证 方式 authentication method 


预 共享 密 钥 
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又 如 ,使 用 show crypto ipsec transform-set 命令 的 操作 及 显示 结果 如 下 。 


rO#show crypto ipsec transform-set 
Transform set myvpn: ( esp-des } 
will negotiate = ( Tunnel. }, 


该 结果 显示 ,目前 网 络 设备 上 配置 了 一 个 名 为 myvpn 的 变换 集 ,该 变换 集 定义 VPN 


安全 隧道 使 用 ESP 作为 封装 协议 ,对 通信 数据 使 用 DES 算法 进行 加 密 处 理 , 但 不 进行 认 
证 处 理 。 此 安全 隧道 的 工作 模式 为 隧道 模式 。 


再 如 ,使 用 show crypto map 命令 的 操作 及 输出 结果 如 下 。 


r0#show crypto map 
Crypto Map "myvpn" 100 ipsec-isakmp 
Peer = 200. 100. 10. 254 
Extended IP access list eacl-vpn 
access-list eacl-vpn permit ip 172. 16. 16. 0 0. 0. 0. 255 192. 168. 0. 0 0. 0. 0. 255 
Current peer: 200. 100. 10. 254 
Security association lifetime: 4608000 kilobytes/3600 seconds 
PFS (Y/N): N 
Transform sets= ( 
myvpn, 
) 
Interfaces using crypto map myvpn: 
FastEthernet0/0 


该 输出 结果 显示 ,在 网 络 设备 上 已 配置 了 一 个 名 为 myvpn 的 加 密 图 ; 该 加 密 图 绑 定 


的 远 端 对 等 体 IP 地 址 为 200. 100. 10. 254, 所 保护 的 流量 由 一 个 名 为 eacl-vpn 的 扩展 
ACL 定义 ; 该 ACL 允许 本 地 网 络 172. 16. 16. 0/24 到 远 端 网 络 192. 168. 0. 0/24 的 流量 
将 受到 myvpn 的 保护 ; 该 加 密 图 绑 定 的 变换 集 名 为 myvpn; 该 加 密 图 被 应 用 到 接口 


Fas 


tEthernet0/0 上 。 


8. 检查 VPN 状态 信息 
除了 可 以 使 用 以 上 3 条 命令 检查 配置 外 ,还 可 以 在 特权 模式 下 ,使 用 如 下 命令 检查 对 


等 体 上 已 建立 的 ISAKMP SA 和 IPSec SA 的 状态 信息 。 


show crypto isakmp sa 
show crypto ipsec sa 


例如 ,检查 已 建立 的 ISAKMP SA 状态 信息 的 操作 及 输出 结果 如 下 。 


r0#show crypto isakmp sa 
dst src state conn-id slot 
200. 100. 10.254  200.100.10.1 QM IDLE 1 0 


该 信息 显示 已 经 在 远 端 200. 100. 10. 254 和 本 地 200. 100. 10. 1 建立 一 个 ISAKMP 


SA, 其 目前 状态 为 QM_IDLE, 其 连接 ID 号 为 1。 利用 连接 ID 号 可 以 在 检查 过 程 中 删除 


已 于 


Ew SA 时 使 用 。 
又 如 ,检查 已 建立 的 IPSec SA 状态 信息 的 操作 及 输出 结果 如 下 。 


Pe 
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r0#show crypto ipsec sa 


interface: FastEthernet0/0 


Crypto map tag: myvpn, local addr. 200. 100. 10. 1 


protected vrf; 


local ident (addr/mask/prot/port); (172. 16. 16. 0/255. 255. 255. 0/0/0) 
remote ident (addr/mask/prot/port) ; (192. 168. 0. 0/255. 255. 255. 0/0/0) 
current peer; 200. 100. 10. 254,500 
permit, flags= (origin is acl.) 
# pkts encaps: 18, #pkts encrypt: 18, # pkts digest 0 
# pkts decaps: 18, #pkts decrypt: 18, £ pkts verify 0 
# pkts compressed: 0, # pkts decompressed: 0 
* pkts not compressed: 0, #pkts compr. failed: 0 
# pkts not decompressed; 0, # pkts decompress failed; 0 
# send errors 2, # recv errors 0 


local crypto endpt. : 200. 100. 10. 1, remote crypto endpt. : 200. 100, 10. 254 
path mtu 1500, ip mtu 1500 
current outbound spi: DE35F95F 


inbound esp sas; 

spi: 0xA2E86721(2733139745) 
transform; esp-des , 
in use settings — ( Tunnel, } 
slot: 0, conn id: 2000, flow id: 1, crypto map: myvpn 
sa timing: remaining key lifetime (k/sec): (4586045/3221) 
IV size: 8 bytes 
replay detection support; N 


inbound ah sas; 
inbound pep sas: 


outbound esp sas: 

spi: 0xDE35F95F(3728079199) 
transform: esp-des » 
in use settings ={Tunnel, } 
slot: 0, conn id; 2001, flow id: 2, crypto map: myvpn 
sa timing: remaining key lifetime (k/sec): (4586045/3221) 
IV size: 8 bytes 
replay detection support: N 


outbound ah sas; 


outbound pep sas: 


以 上 输出 结果 说 明 如 下 。 


ee 
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(D 目前 在 接口 FastEthernet0/0 上 应 用 了 一 个 名 为 myvpn 的 加 密 图 。 该 接口 的 IP 
地 址 为 200. 100. 10. 1。 

@ 当前 IPSec SA 连接 的 远 端 对 等 体 IP 地 址 为 200. 100. 10.254, 端 口 500。 

© 当前 IPSec SA 保护 的 流量 是 由 ACL 中 permit 语句 定义 的 。 接 下 来 显示 了 各 有 
18 个 匹配 ACL 的 数据 报 文 被 进行 了 封装 / 解 封装 处 理 ; 并 且 这 些 数据 报 文 都 被 进行 了 
加 /解密 处 理 , 但 没有 被 进行 认证 处 理 。 

@ 此 处 输出 结果 显示 ,该 IPSec SA 的 本 端 对 等 体 为 200. 100. 10. 1 , 远 端 对 等 体 为 
200. 100. 10. 254. 

C) 此 处 输出 结果 显示 在 当前 对 等 体 上 出 站 流量 中 的 SPI 值 为 DE35F95F。 

此 处 显示 当前 在 人 站 方向 上 有 已 建立 的 IPSec SA ,其 类 型 为 ESP SA, 

G) 该 人 站 ESP SA 使 用 的 SPI 值 为 0xA2E86721。 

® 该 入 站 ESP SA 使 用 的 变换 集 为 ESP-DES, 即 使 用 ESP 协议 进行 封装 ,并 对 数据 
使 用 DES 算法 进行 加 密 。 

© 该 人 站 ESP SA 使 用 的 工作 模式 是 隧道 模式 。 

D 该 人 站 ESP SA 使 用 的 加 密 图 名 为 myvpn。 

O 该 和 人 站 ESP SA 的 生存 时 间 。 

D 入 站 方向 上 没有 建立 AH 协议 封装 的 SA. 

B 入 站 方向 上 没有 建立 PCP SA, 

D 出 站 方向 上 有 已 建立 的 IPSec SA ,该 SA 使 用 ESP 协议 封装 ,其 各 项 参数 含义 与 
入 站 方向 上 的 相同 。 

© 出 站 方向 上 没有 建立 AH 协议 封装 的 SA. 

四 出 站 方向 上 没有 建立 PCP SA。 

9. 跟踪 检查 ISAKMP SA IPSec SA 建立 过 程 

当 使 用 检查 配置 .状态 命令 都 无 法 检查 出 VPN 错误 时 ,在 Cisco IOS 路 由 器 上 ,还 可 
以 通过 跟踪 命令 ,跟踪 ISAKMP SA IPSec SA 建立 过 程 ,以 发 现 错误 。 

在 Cisco IOS 路 由 器 上 ,跟踪 ISAKMP SA 建立 过 程 的 命令 为 ; 


debug crypto isakmp 

在 Cisco IOS 路 由 器 上 ,跟踪 IPSec SA 建立 过 程 的 命令 为 : 
debug crypto ipsec 

例如 ,跟踪 ISAKMP SA 建立 过 程 的 操作 及 输出 结果 如 下 。 


rÜf debug crypto isakmp 
Crypto ISAKMP debugging is on 


r0# 
*Mar 1 05:55:52. 706: ISAKMP (0:0); received packet from 200. 100. 10. 254 dport 500 sport 
500 Global (N) NEW SA [0] 


* Mar 1 05:55:52. 710: ISAKMP: local port 500. remote port 500 
* Mar 105;55:52.710: ISAKMP; insert sa successfully sa = 6400FCDO 


ON 
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* Mar 105:55:52.714: ISAKMP (0:1): Input — IKE MESG FROM PEER. IKE MM EXCH 
* Mar 1 05:55:52. 714; ISAKMP (0:1): Old State = IKE READY New State = IKE R MMI 
* Mar 105:55:52.714; ISAKMP (0:1); processing SA payload. message ID = 0 


* Mar 105; . 718; ISAKMP (0:1): processing vendor id payload 

*Mar 105: . 718: ISAKMP (0:1): vendor ID seems Unity/DPD but major 157 mismatch 
*Mar 105: . 718: ISAKMP (0:1): vendor ID is NAT-T v3 

* Mar 105; . 718; ISAKMP (0:1); processing vendor id payload 

*Mar 105: .718: ISAKMP (0:1); vendor ID seems Unity/DPD but major 123 mismatch 
* Mar 105; . 718; ISAKMP (0:1): vendor ID is NAT-T v2 

*Mar 105; . 718: ISAKMP; Looking for a matching key for 200. 100. 10. 254 in default ; 


success [2] 
* Mar 1 05:55:52. 722: ISAKMP (0:1): found peer pre-shared key matching 200. 100. 10. 254 
* Mar 105:55:52. 722: ISAKMP (0:1) local preshared key found 

* Mar 1 05;55;52.722: ISAKMP : Scanning profiles for xauth ... 

* Mar 1 05:55:52. 722; ISAKMP (0; 1); Checking ISAKMP transform 1 against priority 1 


policy [9] 
* Mar 1 05:55:52. 722: ISAKMP: encryption DES-CBC 

* Mar 105:55:52. 722: ISAKMP: hash MDS 

* Mar 1 05:55:52. 722: ISAKMP: default group 1 

* Mar 1 05:55:52. 722; ISAKMP: auth pre-share 

* Mar 105:55:52.726; ISAKMP; life type in seconds 

* Mar 105:55:52. 726: ISAKMP: life duration (VPD of 0x0 Ox1 0x51 0x80 


* Mar 1 05:55:52. 726: ISAKMP (0:1): atts are acceptable. Next payload is 0 

* Mar 1 05:55:52. 778: ISAKMP (0:1): processing vendor id payload 

* Mar 1 05:55:52. 778: ISAKMP (0:1) : vendor ID seems Unity/DPD but major 157 mismatch 
* Mar 1 05:55:52. 778; ISAKMP (0:1); vendor ID is NAT-T v3 

* Mar 1 05:55:52. 778; ISAKMP (0:1): processing vendor id payload 

* Mar 1 05:55:52. 782: ISAKMP (0:1) : vendor ID seems Unity/DPD but major 123 mismatch 
* Mar 1 05:55:52. 782: ISAKMP (0:1): vendor ID is NAT-T v2 

* Mar 105:55:52. 782: ISAKMP (0:1): Input = IKE MESG. INTERNAL., IKE PROCESS 
MAIN MODE 

* Mar 1 05:55:52. 782; ISAKMP (0:1); Old State = IKE R MMI New State = IKE R MMI 

* Mar 1 05:55:52.786; ISAKMP (0:1) : constructed NAT-T vendor-03 ID 

* Mar 1 05:55:52. 786: ISAKMP (0:1): sending packet to 200. 100. 10. 254 my. port 500 peer - 
port 500 (R) MM. SA SETUP @ 
* Mar 1 05:55:52. 786: ISAKMP (0:1): Input = IKE MESG INTERNAL. IKE PROCESS. 
COMPLETE 

* Mar 1 05:55:52. 790; ISAKMP (0:1); Old State = IKE R MMI New State = IKE R MM2 

* Mar 105:55:53.302: ISAKMP (0:1); received packet from 200. 100. 10. 254 dport 500 sport 
500 Global (R) MM SA SETUP 

* Mar 1 05:55:53. 306: ISAKMP (0:1): Input = IKE MESG FROM PEER. IKE MM EXCH 

* Mar 1 05:55:53. 306: ISAKMP (0:1): Old State = IKE R MM2 New State = IKE R. MM3 
* Mar 1 05;55:53.306; ISAKMP (0:1): processing KE payload. message ID = 0 

* Mar 1 05,;55:53.366; ISAKMP (0:1): processing NONCE payload. message ID = 0 

* Mar 1 05:55:53.366; ISAKMP: Looking for a matching key for 200. 100. 10. 254 in default ; success 
* Mar 1 05:55:53. 366: ISAKMP (0:1): found peer pre-shared key matching 200. 100. 10. 254 
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* Mar 105:55:53.370: ISAKMP (0:1): SKEYID state generated 


* Mar 105; : ISAKMP (0:1) processing vendor id payload 
*Mar 105; : ISAKMP (0:1): vendor ID is Unity 

*Mar 105; : ISAKMP (0;1): processing vendor id payload 
*Mar 105: : ISAKMP (0:1): vendor ID is DPD 

*Mar 105: : ISAKMP (0:1): processing vendor id payload 
* Mar 105; : ISAKMP (0;1); speaking to another IOS box! 


* Mar 1 05:55:53. 374; ISAKMP: received payload type 17 

* Mar 1 05;55:53.374; ISAKMP: received payload type 17 

* Mar 1 05;55;53.374; ISAKMP (0:1): Input = IKE MESG  INTERNAL, IKE PROCESS. 
MAIN MODE 

* Mar 1 05:55:53. 378: ISAKMP (0:1): Old State = IKE R. MM3 New State = IKE R. MM3 

* Mar 105:55:53.378: ISAKMP (0:1): sending packet to 200. 100. 10. 254 my. port 500 peer 
port 500 (R) MM KEY EXCH 

* Mar 105;55:53.382; ISAKMP (0:1): Input = IKE MESG. INTERNAL, IKE PROCESS 
COMPLETE 

* Mar 1 05:55:53. 382: ISAKMP (0:1): Old State = IKE R MM3 New State = IKE R. MM4 

* Mar 105:55:53. 738: ISAKMP (0:1): received packet from 200. 100. 10. 254 dport 500 sport 
500 Global (R) MM KEY EXCH 

* Mar 1 05:55:53. 742; ISAKMP (0:1); Input = IKE MESG FROM PEER, IKE MM EXCH 

* Mar 1 05:55:53. 742; ISAKMP (0:1); Old State = IKE R MM4 New State = IKE R MM5 

* Mar 1 05:55:53. 746: ISAKMP (0:1): processing ID payload. message ID = 0 


* Mar 1 05:55:53. 746: ISAKMP (0:1): ID payload [9] 
next-payload : 8 
type 4d 
address : 200. 100. 10. 254 
protocol :17 
port : 500 
length :12 


* Mar 105:55:53.746: ISAKMP (0:1): peer matches * none* of the profiles 

* Mar 1 05:55:53. 746; ISAKMP (0:1): processing HASH payload. message ID = 0 

* Mar 1 05:55:53. 750; ISAKMP (0:1): processing NOTIFY INITIAL CONTACT protocol 1 
spi 0, message ID — 0, sa — 6400FCDO 

* Mar 105:55:53. 750: ISAKMP (0:1): SA authentication status: 

* Mar 1 05:55:53,750: authenticated 

* Mar 1 05:55:53. 750: ISAKMP (0:1): Process initial contact. 

bring down existing phase 1 and 2 SA's with local 200. 100. 10. 1 remote 200. 100. 10. 254 remote 
port 500 

* Mar 105:55:53.750; ISAKMP (0:1): SA authentication status; © 
* Mar 105:55:53.750: authenticated 

* Mar 105:55:53.754: ISAKMP (0:1): SA has been authenticated with 200. 100. 10. 254 

* Mar 105:55:53. 754: ISAKMP (0:1): peer matches * none* of the profiles 

* Mar 1 05:55:53. 754; ISAKMP (0:1); Input = IKE MESG INTERNAL, IKE PROCESS. 
MAIN MODE 

* Mar 1 05:55:53. 754; ISAKMP (0:1): Old State = IKE R MM5 New State = IKE R MM5 
* Mar 105:55:53. 758: ISAKMP (0:1): SA is doing pre-shared key authentication using id type 
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ID IPv4 ADDR 
* Mar 1 05;55;53. 758: ISAKMP (0:1): ID payload 
next-payload : 8 


type mi 

address : 200. 100. 10. 1 
protocol :17 

port : 500 

length : 12 


* Mar 1 05:55:53.758; ISAKMP (1): Total payload length: 12 

* Mar 105:55:53.762; ISAKMP (0:1); sending packet to 200. 100. 10. 254 my. port 500 peer - 
port 500 (R) MM KEY EXCH 

* Mar 1 05:55:53. 762: ISAKMP (0:1): Input = IKE MESG. INTERNAL. IKE PROCESS. 
COMPLETE 

* Mar 1 05:55:53. 762; ISAKMP (0:1); Old State = IKE R MM5 New State = IKE Pl. 
COMPLETE 

* Mar 1 05:55:53. 766: ISAKMP (0:1): Input = IKE. MESG. INTERNAL. IKE. PHASE! .. 
COMPLETE 

* Mar 1 05:55:53. 766: ISAKMP (0:1): Old State = IKE Pl COMPLETE New State = 
IKE Pl COMPLETE 

* Mar 105:55:54.054; ISAKMP (0:1): received packet from 200. 100. 10. 254 dport 500 sport 
500 Global (R) QM IDLE 

* Mar 1 05:55:54.058: ISAKMP: set new node 2037258125 to QM IDLE [0] 


*Mar 105: .058: ISAKMP (0:1): processing HASH payload. message ID — 2037258125 
*Mar 105: .058: ISAKMP (0:1): processing SA payload. message ID = 2037258125 (8 
*Mar 105: . 062: ISAKMP (0:1): Checking IPSec proposal 1 

* Mar 105; .062; ISAKMP; transform 1, ESP DES 

*Mar 105; .062; ISAKMP; attributes in transform; 

*Mar 105: .062: ISAKMP: encaps is 1 (Tunnel) 

* Mar 1 05:55:54.062: ISAKMP: SA life type in seconds 

* Mar 105:55:54.062: ISAKMP: SA life duration (basic) of 3600 

* Mar 1 05:55:54.062; ISAKMP; SA life type in kilobytes 

* Mar 1 05,55:54.062; ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0 


*Mar 1 05;55:54.066: ISAKMP (0:1); atts are acceptable. 

* Mar 1 05:55:54.066: ISAKMP (0:1): processing NONCE payload. message ID = 2037258125 

* Mar 1 05:55:54.070: ISAKMP (0:1): processing ID payload. message ID = 2037258125 

* Mar 1 05:55:54.070: ISAKMP (0:1): processing ID payload. message ID = 2037258125 

* Mar 1 05;55:54.070: ISAKMP (0:1): asking for 1 spis from ipsec 

* Mar 1 05:55:54. 070; ISAKMP (0:1): Node 2037258125, Input = IKE MESG FROM 
PEER. IKE QM EXCH 

* Mar 1 05;55:54.070; ISAKMP (0:1); Old State = IKE QM READY New State = IKE_ 
QM SPI STARVE 

* Mar 105:55:54.074: ISAKMP: received ke message (2/1) 

* Mar 1 05:55:54.322; ISAKMP (0:1): sending packet to 200. 100. 10. 254 my. port 500 peer - 
port 500 (R) QM IDLE 

* Mar 1 05:55:54. 326: ISAKMP (0:1): Node 2037258125, Input = IKE MESG FROM 
IPSEC. IKE SPI REPLY 
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* Mar 105:55:54.326: ISAKMP (0:1): Old State = IKE QM SPI STARVE New State = 
IKE QM R QM2 

* Mar 1 05,55:54. 462; ISAKMP (0:1) ; received packet from 200. 100. 10. 254 dport 500 sport 
500 Global (R) QM. IDLE 


* Mar 1 05:55:54. 470; ISAKMP (0:1): Creating IPSec SAs [9] 
* Mar 1 05:55:54. 470; inbound SA from 200. 100. 10. 254 to 200. 100. 10. 1 (£/i) 
0/ 0 (proxy 192. 168. 0. 0 to 172. 16. 16.0) 

* Mar 1 05:55:54. 470: has spi 0x74788662 and conn id 2000 and flags 2 

*Mar 105; .470; lifetime of 3600 seconds 

*Mar 105; . 474i lifetime of 4608000 kilobytes 

* Mar 105: .474: has client flags 0x0 

* Mar 105;55:54. 474; outbound SA from 200. 100. 10. 1 to 200.100.10.254 (f/i) 

0/ 0 (proxy 172.16. 16. 0 to 192. 168. 0. 0) 

*Mar 105: . A74: has spi -656764648 and conn id 2001 and flags A 

*Mar 105: .474: lifetime of 3600 seconds 

* Mar 1 05:55:54. 474; lifetime of 4608000 kilobytes 

*Mar 105: . A74: has client flags 0x0 

*Mar 105: . 478: ISAKMP (0:1): deleting node 2037258125 error FALSE reason "quick 


mode done (await) " 

* Mar 1 05;55;54. 478; ISAKMP (0;1); Node 2037258125, Input = IKE MESG. FROM. 
PEER, IKE QM EXCH 

* Mar 1 05:55:54.478; ISAKMP (0:1); Old State = IKE QM R QM2 New State = IKE. 
QM PHASE2 COMPLETE 


以 上 输出 结果 说 明 如 下 。 

CD. 路 由 器 在 接口 收 到 的 流量 与 需要 受 保护 的 ACL 相 匹 配 , 所 以 路 由 器 被 触发 建立 
ISAKMP SA。 

@ 路 由 器 成 功 找 到 与 远 端 对 等 体 200. 100. 10. 254 建立 安全 关联 所 需 的 密 钥 。 

C 路 由 器 找到 所 配置 的 ISAKMP/IKE 策略 1 。 

@ 对 等 体 间 开 始 发 送 IKE 报 文 ,尝试 建立 ISAKMP SA。 

© 对 等 体 间 使 用 ISAKMP 进行 协商 。ISAKMP 使 用 UDP 500 进行 通信 。 

© 对 等 体 间 通过 认证 。 

(D ISAKMP SA 建立 成 功 。 

® f£ ISAKMP SA 上 交换 建立 IPSec SA 的 信息 。 

(9) 成 功 建立 IPSec SA, 

又 如 ,跟踪 IPSec SA 的 操作 及 输出 结果 如 下 。 


r0#debug crypto ipsec 
Crypto IPSEC debugging is on 
* Mar 1 06;13:19.718: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has 
invalid spi for 10) 
destaddr= 200. 100. 10. 1, prot=50, spi=0x74788662(1954055778) ,srcaddr= 200. 100. 10. 254 
* Mar 1 06;13:21.718; IPSEC(validate proposal request): proposal part #1, 
(key eng. msg.) INBOUND local— 200. 100. 10. 1. remote— 200. 100. 10. 254, 
local proxy— 172. 16. 16. 0/255. 255. 255. 0/0/0 (type=4), 
remote proxy— 192. 168. 0. 0/255. 255. 255. 0/0/0 (type=4), 
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protocol= ESP, transform= esp-des (Tunnel), 
lifedur= 0s and Okb. 
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2 
* Mar 1 06;13;21.722; IPSEC(kei proxy): head = myvpn, map->ivrf = kei->ivrf = 
* Mar 1 06;13;21.726; IPSEC(key engine): got a queue event... 
* Mar 106;13;21.726; IPSEC(spi response): getting spi 2226639570 for SA © 
from 200. 100. 10. 1 to 200. 100. 10. 254 for prot 3 
* Mar 1 06:13:22.098: IPSEC(key_engine): got a queue event... 
* Mar 106:13:22.098; IPSECCinitialize_sas): ， © 
(key eng. msg. ) INBOUND local= 200. 100. 10. 1, remote= 200. 100. 10. 254, 
local_proxy= 172. 16. 16. 0/255. 255. 255. 0/0/0 (type=4), 
remote_proxy= 192. 168. 0. 0/255. 255. 255. 0/0/0 (type=4), 
protocol= ESP, transform= esp-des (Tunnel), 
lifedur= 3600s and 4608000kb, 
spi= 0x84B7D2D2(2226639570), conn_id= 2000, keysize= 0, flags= 0x2 
* Mar 1 06:13:22. 102: IPSEC(initialize_sas): ， 
(key eng. msg.) OUTBOUND local= 200. 100. 10. 1, remote= 200. 100, 10. 254, 
local proxy— 172. 16. 16. 0/255. 255. 255. 0/0/0 (type=4), 
remote proxy— 192. 168. 0. 0/255. 255. 255. 0/0/0 (type=4), 
protocol= ESP, transform= esp-des (Tunnel), 
lifedur= 3600s and 4608000kb, 
spi= 0xB5CC379E( 3050059678), conn_id= 2001, keysize= 0, flags= 0xA 
* Mar 1 06:13:22,102: IPSEC(kei_proxy): head = myvpn, map->ivrf = , kei->ivrf = 
* Mar 1 06:13:22. 106: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with the same 
proxies and 200. 100. 10. 254 
*Mar 1 06:13:22.106; IPSEC(add mtree); src 172. 16. 16. 0, dest 192. 168. 0. 0, dest port 0 


* Mar 1 06:13:22.106; IPSEC(create sa): sa created, [o 
(sa) sa dest— 200. 100. 10. 1, sa prot— 50, 
sa spi— 0x84B7D2D2(2226639570) , 
sa trans— esp-des , sa conn id— 2000 
* Mar 1 06:13:22,110: IPSEC(create sa): sa created, 
(sa) sa dest— 200. 100. 10. 254, sa prot— 50, 
sa spi— OxB5CC379E(3050059678) , 
sa trans— esp-des , sa conn id— 2001 


显示 内 容 说 明 如 下 。 

CD 对 等 体 收 到 了 一 个 错误 SPI SA. 

© 对 等 体重 新 建立 IPSec SA ,并 向 远 端 对 等 体 发 送 新 SPI. 
© 对 等 体 间 开 始 初始 化 新 的 IPSec SA. 

CD 对 等 体 间 建立 新 的 IPSec SA. 


10. 清除 已 存在 的 SA 
进行 调试 时 ,有 时 需要 清除 已 建立 的 SA, 以 查看 修改 VPN 配置 后 的 效果 。 在 Cisco 


TOS 路 由 器 上 清除 已 建立 的 SA 的 操作 为 ,在 特权 模式 下 输入 : 


clear crypto sa map 加 密 图 名 
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5.3.2 远程 访问 VPN 配置 

远程 访问 VPN 有 两 种 实现 方法 : 远程 IPSec VPN 和 SSL VPN. 

在 Cisco 网 络 设备 上 ,远程 IPSec VPN 又 有 两 种 实现 方案 : Easy VPN 和 动态 VTI 
(DVTD, 

Easy VPN 的 架构 包括 两 部 分 : 在 网 络 设备 上 的 远程 访问 VPN 服务 器 ; CO) Cisco 
Easy VPN Remote, 如 在 远程 用 户 计算 机 上 的 Cisco VPN 客户 端 软件 ,Easy VPN 硬件 客 
户 端 或 在 网 络 设 备 上 配置 的 Easy VPN 客户 端 。 

Easy VPN 将 大 量 VPN 通信 的 管理 工作 ,如 定义 大 量 VPN illi fi Cou aed VPN 
对 等 体 进行 失效 检查 等 ,集中 在 VPN 服务 器 一 端 进行 。 因 此 与 站 到 站 VPN 不 同 ,实施 
Easy VPN Hf, VPN 服务 器 和 VPN 客户 端的 配置 操作 有 很 大 区 别 。 


1. Easy VPN 服务 器 配置 

与 站 到 站 VPN 相 比 ,Easy VPN 为 简化 在 客户 端的 配置 , 除 提 供 建立 VPN 安全 隧道 
的 基本 功能 外 ,还 提供 以 下 功能 。 

。 —H VPN 安全 通道 建立 成 功 , Easy VPN 服务 器 可 以 为 远程 访问 用 户 分 配 访问 
公司 内 部 网 络 的 IP 地 址 ,使 其 可 以 像 使 用 专用 线路 一 样 访问 公司 网 络 , 并 自动 建 
立 NAT 或 PAT, 关 联 必要 的 ACL。 

对 用 户 身份 进行 认证 ,以 对 其 进行 访问 控制 。 
由 Easy VPN 服务 器 端 将 VPN 安全 通道 的 各 项 参数 作为 组 策略 推送 到 VPN 客 
户 端 。 

Easy VPN 服务 器 与 Easy VPN 客户 端 之 间 对 等 体 的 会 话 步骤 如 下 。 

(D fii] ISAKMP 在 Easy VPN 服务 器 与 Easy VPN 客户 端 间 进行 认证 。 

© 使 用 IKE 扩展 认证 (IKE Extended Authentication,.Xauth) 对 用 户 身份 进行 认证 。 

© 通过 认证 后 ,VPN 服务 器 向 VPN 客户 端 推 送 组 策略 。 

@ 创建 IPSec SA。 

由 于 以 上 所 述 变换 ,所 以 在 Easy VPN 服务 器 一 端 , 除 需要 进行 ISAKMP 策略 .变换 
集 和 加 密 图 的 定义 以 及 应 用 加 密 图 等 操作 外 ,还 需要 以 下 配置 操作 。 

。 增加 IP 地 址 池 等 有 关 配 置 。 

。 增加 用 户 身 份 认证 、 授 权 的 配置 。 

。 增加 推送 组 策略 的 定义 。 

。 需要 将 所 定义 的 身份 认证 、 授 权 等 与 加 密 图 绑 定 在 一 起 。 

在 Cisco IOS 路 由 器 上 配置 Easy VPN 的 基本 步骤 如 表 5-7 所 示 o 

注意 : Easy VPN 在 配置 过 程 中 有 如 下 限制 。 

* ISAKMP 策略 中 只 支持 group 2. 

。 变换 集 必须 既 有 加 密 , 也 有 认证 ,并 且 不 支持 AH。 

* Easy VPN & P 354& M A FS BE 3 FPA ACL 限制 通过 安全 隧道 的 流量 ) 时 ,不 

支持 NAT。 
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表 5-7 Easy VPN 配置 基本 步骤 


»* 号 操 fF 相关 命令 必要 
创建 IP 地 址 池 ,为 远程 访问 用 户 | 
PRL | 分配 可 本 地 使 用 的 TP 地 址 mine T 
步骤 2 为 远程 访问 用 户 配置 访问 网 络 的 | aaa new-model 是 
AAA 授权 策略 aaa authorization network 
步骤 3 | 定义 ISAKMP 策略 crypto isakmp policy 是 
步骤 4 | 创建 推送 到 客户 端的 组 策略 crypto isakmp client configuration group 是 
步骤 5 | 创建 变换 集 crypto ipsec transform-set 是 
步骤 6 | 创建 动态 加 密 图 crypto dynamic-map 是 
m 将 动态 加 密 图 插入 到 静态 加 密 ins 是 
图 中 
crypto map map -rvpn client configuration 
步骤 8 | 修改 其 他 加 密 图 参数 address respond 是 
crypto map xx isakmp authorization list 
步骤 9 | 将 加 密 图 应 用 到 接口 上 接口 模式 下 的 erypto map 是 
步骤 10 | 启用 IKE 失效 对 等 体检 测 crypto isakmp keepalive 是 
步骤 11 | 配置 Xauth crypto map ... client authentication list 可 选 
show cryto ma, 
Puis | tee Easy VEN NE show Pd m client ezvpn ie 


(1) 创建 IP 地 址 池 
在 Cisco IOS 路 由 器 上 ,创建 IP 地 址 池 的 操作 为 ,在 全 局 配置 模式 下 输入 : 


ip local pool ( 地 址 池 名 ”地址 池 最 小 地 址 地址 池 最 大 地 址 } 
例如 ,在 分 支 机 构 B-1 边界 路 由 器 上 配置 远程 访问 VPN 时 ,设计 让 远程 访问 用 户 接 


default | 


入 后 使 用 10. 0. 4. 1—10. 0. 4. 254 间 地 址 , 则 可 以 如 下 配置 。 


VPN-Ser (config) = ip local pool poolrvpn 10.0.0.7 


(2) 为 远程 访问 用 户 配置 AAA 策略 

HK AAA 策略 配置 方法 ,可 以 参考 本 书 第 3 章 有 关内 容 。 

注意 : 对 于 远程 访问 VPN 用 户 , 需 为 其 配置 AAA 网 络 访问 授权 。 

例如 ,在 分 支 机 构 B-1 边界 路 由 器 上 配置 远程 访问 VPN 时 ,如 果 设 计 使 用 路 由 器 本 地 


10.0.0. ? 


数据 库 进 行 网 络 访问 授权 ,并 且 本 地 配置 相应 用 户 名 为 rvpn, 口 令 为 123, 则 可 以 如 下 操作 。 


VPN-Ser(config) # aaa  new-model 

VPN-Ser(config) # aaa authorization network rvpn local 

VPN-Ser(config) # username rvpn password 123 

(3) 创建 推送 到 客户 端的 组 策略 

在 Cisco IOS 路 由 器 上 ,创建 推送 到 客户 端 组 策略 的 操作 为 , 先 在 全 局 配置 模式 下 输入 : 


crypto isakmp client configuration group 策略 组 号 
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这 时 将 进入 组 策略 配置 模式 ,可 以 输入 如 下 子 命令 定义 组 策略 各 项 参数 。 


key WHE SA 

pool 地 址 池 名 

dns DNS 服务 器 地 址 

domain 本 地 域 

acl ”访问 控制 列表 号 或 名 

其 中 , 子 命令 key 用 于 定义 VPN 服务 器 与 客户 端 对 等 体 间 认证 的 预 共享 密 钥 。 

子 命令 pool 用 于 定义 VPN 客户 端 访问 时 使 用 的 TP 地 址 从 哪个 地 址 池 进 行 分 配 。 

子 命令 dns 用 于 定义 VPN 客户 端 远 程 访问 时 ,使 用 哪个 DNS 服务 器 。 

子 命令 domain 用 于 定义 发 送 给 客户 端的 默认 域名 。 

子 命 令 acl 用 于 定义 客户 端 可 以 访问 本 地 哪些 网 络 。 

例如 ,在 分 支 机 构 B-1 边界 路 由 器 上 配置 远程 访问 VPN 时 , 若 设计 : 使 用 预 共 享 密 钥 
为 123, 地 址 池 为 pool-rvpn,DNS 服务 器 地 址 为 120. 0. 0. 29。 配 置 其 组 策略 的 操作 如 下 。 


VPN-Ser(config) # crypto isakmp client configuration group rvpn-l 

VPN-Ser(config-isakmp-group) # key 123 

VPN-Ser(config-isakmp-group) # pool pool-rvpn 

VPN-Ser(config-isakmp-group) & dns 120. 0. 0. 29 

ER: 此 处 访问 控制 列表 用 于 定义 本 地 网 络 中 受 VPN 保护 的 地 址 范围 。 

(4) 创建 动态 加 密 图 

由 于 Easy VPN 的 客户 端 一 般 TP 地 址 不 固定 ,所 以 需 创 建 动态 加 密 图 将 变换 集 与 被 
保护 的 流量 绑 定 在 一 起 。 

在 Cisco IOS 路 由 器 上 ,创建 动态 加 密 图 的 操作 为 ,在 全 局 配置 模式 下 输入 : 

crypto  dynamic-map ”动态 加 密 图 名 加 密 图 条 目 序 号 

set transform-set 变换 集 名 [ 变换 集 名 … ] 

reverse-route 

参数 “动态 加 密 图 名 ”、“ 加 密 图 条 目 序号 ”的 用 法 与 配置 静态 加 密 图 相同 。 

在 创建 加 密 图 条 目 并 进入 其 配置 模式 后 . 需 使 用 set transform-set 子 命令 指定 动态 
加 密 图 绑 定 的 变换 集 , 可 以 指定 多 个 变换 集 ,但 排 在 左边 的 优先 。 

如 果 要 保证 IPSec 隧道 的 返回 数据 能 够 找到 该 隧道 ,还 需要 输入 reverse-route 子 命令 ， 
让 路 由 器 为 每 个 VPN 客户 端的 内 部 IP 地 址 在 Easy VPN 服务 器 上 创建 一 条 静态 路 由 。 

例如 ,以 下 操作 将 创建 一 个 名 为 dmap-rvpn 的 动态 加 密 图 ,并 创建 一 个 序号 为 100 的 
加 密 图 条 目 ,在 该 加 密 图 条 目 中 绑 定 了 变换 集 dts-rvpn, 同 时 启用 了 反 向 路 由 功能 。 

VPN-Ser(config) # crypto dynamicmap dmap-rvpn 100 

VPN-Ser(config-crypto-map) #set transform-set dts-rvpn 

VPN-Ser( config-crypto-map) # reverse-route 

(5) 配置 加 密 图 

在 Cisco 网 络 设备 上 ,动态 加 密 图 不 能 直接 应 用 在 接口 上 ,还 需 配 置 静态 加 密 图 , 然 
后 将 动态 加 密 图 插入 到 该 静态 加 密 图 中 。 


ON 


P 


计算 机 网 络 安全 与 管理 


在 Cisco IOS 路 由 器 上 ,将 动态 加 密 图 插入 到 静态 加 密 图 的 操作 为 在 全 局 配置 模式 
FA: 


crypto map JU E JE  ipsecisakmp dynamic 动态 加 密 图 条 目 

例如 ,将 一 个 名 为 dmp-rvpn 的 动态 加 密 图 插入 到 map-rvpn 中 第 10 行 的 操作 如 下 。 

VPN-Ser(config) # crypto map map-rvpn 10 ipsec-isakmp dynamic dmap-rvpn 

(6) 配置 VPN 服务 器 响应 VPN 客户 端 请 求 并 为 其 授权 的 方案 

对 于 Cisco IOS 路 由 器 而 言 ,还 需要 输入 如 下 命令 使 Easy VPN 服务 器 能 够 响应 客 
户 端的 请 求 。 

crypto map 加密 图 名 client configuration address respond 

另外 , 当 用 户 发 起 远程 访问 时 ,应 定义 路 由 器 使 用 什么 样 的 授权 策略 。 

crypto map 加 密 图 名 isakmp authorization list AAA 授权 策略 名 


例如 ,如 下 操作 将 一 个 名 为 rvpn 的 授权 策略 与 名 为 map-rvpn 的 加 密 图 绑 定 在 一 起 ， 
则 远程 用 户 访问 时 ,将 受到 该 授权 策略 的 限制 。 


VPN-Ser(config) # crypto map map-rvpn isakmp authorization list rvpn 


CD 启用 IKE 失效 对 等 体检 测 

路 由 器 使 用 失效 对 等 体检 测 (Dead Peer Detection,DPD), 可 以 检测 远 端 对 等 体 是 否 
依然 存活 。Cisco 路 由 器 提供 两 种 DPD 机 制 : 按 需 DPD(on-demand DPD) 和 定期 DPD 
(periodic DPD) 。 按 需 DPD 是 Cisco 路 由 器 默认 配置 。 

当 使 用 按 需 DPD 机 制 时 ,路 由 器 根据 是 否 有 出 站 流量 发 送 DPD 消息 。 

当 配 置 了 IKE 失效 对 等 体 生存 时 间 时 ,路 由 器 会 根据 指定 的 时 间 间 隔 发 送 Hello 消 
息 。 如 果 路 由 器 未 在 指定 时 间 间 隔 收 到 远 端 对 等 体 的 Hello 消息 , 则 认为 远 端 对 等 体 已 
经 失效 。 

在 Cisco IOS 路 由 器 上 ,启用 IKE 失效 对 等 体检 测 的 操作 为 在 全 局 配置 模式 下 输入 : 

crypto isakmp  keepalive 生存 时 间 

参数 “生存 时 间 ” 为 多 长 时 间 进行 失效 检测 ,单位 为 秒 , 范 围 为 10 一 3600。 

(8) 配置 Xauth 

在 Cisco IOS 路 由 器 上 ,配置 进行 登录 身份 认证 的 操作 为 在 全 局 配置 模式 下 输入 : 

crypto map 加 密 图 名 client authentication list AAA 身份 认证 策略 名 

当然 AAA 身份 认证 策略 应 已 经 定义 ,如 果 使 用 本 地 认证 , 则 相应 的 用 户 名 、 口 令 也 
应 提前 配置 。 


2. Easy VPN 客户 端 配置 
使 用 Cisco VPN 客户 端 软 件 , 可 以 帮助 用 户 连接 到 Easy VPN 服务 器 ,建立 IPSec 
VPN 安全 隧道 。 
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图 5-21 为 该 软件 主 窗口 。 使 用 该 软件 的 步骤 如 下 。 


Inport Modify Delete cisco 


EE 


Cisco repan 


图 5-21 Cisco VPN 客户 端 软件 主 窗口 


CD 创建 VPN 连接 配置 项 并 定义 连接 参数 
在 主 窗口 中 单 击 虫 图 标 ,新 建 一 个 连接 配置 。 在 出 现 图 5-22 所 示 的 窗口 中 ,输入 
VPN 连接 所 需 参数 。 


[© VPN client | Create New ni Entry 
Connection Entry: 
— —— 2: 
Host: 
Authentication | Transport | Backup Servers | Dial-Up | 


|| © Group Authentication C Wutual Group Authentication 


— 
Bassvord 


Confirm Password: [ 


C Certificate Authentication 
Hone: f | 
V^ Send CA Certificate Chain 


Erase User Password 


图 5-22 新建 VPN 连接 配置 窗口 


在 图 5-22 所 示 的 窗口 中 ,建立 预 共 享 密 钥 方式 VPN 连接 所 需 的 必要 参数 有 : VPN 
服务 器 地 址 Host、 组 策略 名 Name、 组 策略 预 共享 密 钥 Password 和 Confirm Password, 

例如 ,如 果 Easy VPN 服务 器 的 IP 49 200. 100. 15. 205 ,在 Easy VPN 服务 器 上 为 远程 访问 
用 户 配置 了 组 策略 rvpn-1, 组 策略 预 共 享 密 钥 为 123, 则 可 以 设置 Host 为 200. 100. 15. 205. 
Name W rvpn-1.Password 和 Confirm Password 为 123. 

配置 完成 后 , 单 击 Save 按钮 保存 , 则 在 主 窗口 中 会 出 现 新 定义 的 VPN 连接 项 记录 。 


/194 计算 机 网 络 安全 与 管理 


y (2) 建立 VPN 连接 © VPN Client | Connecting to "cisco vpn" i 


在 保证 运行 该 客户 端 软件 的 计算 机 已 能 Tere tne security eatery at 200,100 15.205... 


连接 到 Internet 的 情况 下 ,选择 Cisco VPN Connect History 
客户 端 软 件 窗口 中 已 经 配置 好 的 VPN 连接 | [eene he ett teme eet is 
项 ,然后 单 击 窗口 上 方 的 n Eb BE Easy 
VPN 服务 器 。 
在 连接 过 程 中 会 弹出 一 个 状态 窗口 ,显示 CTS 


连接 状态 信息 ,如 图 5-23 所 示 。 
在 建立 连接 过 程 中 ,如 果 协 商 ISAKMP 图 5-23 VPN 连接 状态 信息 窗口 
策略 通过 , 则 Cisco VPN 客户 端 软件 会 弹出 
如 图 5-24 所 示 窗 口 ,让 用 户 输入 账户 名 和 口令 。 在 该 窗口 中 输入 在 Easy VPN 服务 器 上 
配置 的 用 户 账户 及 口令 , 单 击 OK 按钮 ,发 送 账户 信息 。 
如 果 通 过 身份 认证 ,并 且 能 够 在 客户 端 与 服务 器 成 功 协商 建立 IPSec SA, 则 Cisco 
VPN 客户 端 软件 会 提示 已 经 成 功 建立 VPN 安全 隧道 ,如 图 5-25 所 示 。 单 击 OK 按钮 ， 
关闭 窗口 即 可 。 


&) VPN Client | User Authentication. 


The server has requested the following information to complete 
the user authentication. 


vidi [i Username: [no 


The VPN connection has been established. Press Ok to continue. 


CISCO reri: [od 


图 5-24 用 户 登 录 认 证 窗口 图 5-25 VPN 连接 建立 成 功 窗口 


5.4 模拟 公司 网 络 安全 通信 配置 方案 


根据 5. 1 节 模 拟 公 司 网 络 安全 通信 需求 ,可 在 分 支 机 构 B-1 边界 路 由 器 上 进行 如 下 
配置 。 

。 站 到 站 VPN, 其 各 项 参数 如 表 5-8 所 示 。 

* Easy VPN 服务 器 ,其 主要 配置 参数 如 表 5-9 所 示 。 


表 5-8 站 到 站 VPN 配置 参数 


ISAKMP 策略 变换 集 参数 加 密 图 参数 
优先 级 : 1 变换 集 名 : ts-vpn- 公 司机 构 代号 加 密 图 名 : map-vpn 
加 密 算法 : 3DES 封装 协议 及 加 密 算法 : ESP-3DES 加 密 图 条 目 序号 : 公司 机 构 
散 列 算法 : SHA 封装 协议 及 认证 算法 : ESP-SHA-HMAC | 代号 
D-H 算 法 : 2 
认证 方式 : 预 共享 密 钥 
预 共 享 密 钥 : 随机 生成 


第 5 章 VPN 技术 


表 中 “公司 机 构 代号 ”为 公司 所 有 机 构 网 络 的 数字 编号 。 分 支 机 构 与 公司 其 他 网 络 
对 等 体 间 预 共享 密 钥 使 用 随机 算法 生成 ,每 月 更 换 。 
表 5-9 远程 访问 VPN 配置 参数 


ISAKMP 策略 变换 集 参 数 加 密 图 参数 
优先 级 : 1 变换 集 名 : ts-rvpn 加 密 图 名 : map-vpn 
加 密 算法 : 3DES 封装 协议 及 加 密 算法 : ESP-3DES 动态 加 密 图 名 : dmap-rvpn 
散 列 算法 : SHA 封装 协议 及 认证 算法 : ESP-SHA-HMAC 加 密 图 条 目 序号 : 100 
D-H 算法 : 2 
认证 方式 : 预 共 享 密 钥 
预 共 享 密 钥 : 随机 生成 


表 中 分 别 使 用 ts-rvpn 作为 变换 集 名 \ 动 态 加 密 图 名 。 


5.5 小 结 


使 用 VPN 技术 可 以 对 通信 数据 进行 加 密 、 验 证 ,保证 网 络 通信 的 安全 可 靠 性 。VPN 
技术 分 为 站 到 站 VPN 和 远程 访问 VPN 两 大 类 。 基 于 IPSec 协议 框架 构建 的 VPN ,其 安 
全 隧道 建立 过 程 分 为 两 个 阶段 。 第 1 个 阶段 协商 建立 用 于 传输 VPN 管理 信息 的 
ISAKMP SA ,第 2 个 阶段 建立 用 于 传输 通信 数据 的 IPSec SA。 站 到 站 IPSec VPN 的 基 
本 配置 步骤 包 括 : 四 定义 ISAKMP 策略 集 ; Og X. IPSec 变换 集 ; OE MINHA; @ 应 
用 加 密 图 。Easy VPN 的 基本 配置 步骤 包括 : 定义 用 户 身份 认证 ; 四 定义 ISAKMP 策 
WEAR; @ 定 义 组 策略 ; @ 定 义 IPSec 变换 集 ; 回 定 义 动态 加 密 图 ,并 将 动态 加 密 图 插入 到 
静态 加 密 图 ; @ 应 用 加 密 图 。 


5.6 习题 


1. 网 络 管理 员 发 现 路 由 器 A 不 能 与 路 由 器 B 建立 站 到 站 VPN 连接 ,并 且 在 路 由 器 
A 上 使 用 debug 命令 根本 检查 不 到 任何 协商 建立 ISAKMP SA 过 程 的 信息 , 则 以 下 哪些 
原因 是 可 能 的 ? C ) 
A. 没有 在 正确 接口 上 应 用 加 密 图 
配置 了 错误 的 远 端 对 等 体 地 址 
. 加 密 图 名 字 中 使 用 了 数字 
.接口 上 配置 的 ACL 过 滤 了 UDP 500 端口 的 流量 
. ISAKMP 策略 优先 级 使 用 了 太 小 的 数字 
. 下 列 哪 一 项 是 所 有 选项 中 安全 性 最 强 的 加 密 、 验 证 算法 组 合 ? 〈 ) 
. DES,3DES B. AES,SHA C. 3DES,SHA D. MD5,AES 
. SHA,DES F. AES,DES G. 3DES,MD5 
. 判断 题 : 使 用 传输 模式 时 ,隧道 中 数据 报 文 IP 报头 中 的 地 址 是 两 端 对 等 体 的 


»mp»e"mocots 


a 


A 


计算 机 网 络 安全 与 管理 


地 址 。 

4. 判断 题 : AH 协议 验证 整个 IP 报 文 , 所 以 不 适宜 用 在 使 用 NAT 的 网 络 中 。 

5. 判断 题 : IPSec VPN 中 两 个 对 等 体 配 置 的 ISAKMP 策略 优先 级 必须 相同 。 

6. 判断 题 : 路 由 器 一 个 接口 上 可 以 应 用 多 个 加 密 图 。 

7. 网 络 管理 员 使 用 哪个 命令 可 以 查看 到 由 预 共 享 密 钥 配置 错误 导致 ISAKMP SA 
无 法 建立 的 情况 ? C ) 

A. show cryto isakmp sa B. show cryto ipsec sa 

C. debug cryto isakmp D. debug cryto ipsec 

8. 判断 题 : ISAKMP 协议 使 用 UDP 500 端口 进行 通信 ,所 以 IPSec VPN 是 在 应 用 
层 保 护 通信 数据 安全 的 协议 。 

9. 以 下 哪 一 项 不 需要 在 Easy VPN 客户 端 上 配置 ? ( ) 
. ISAKMP 策略 ,如 ISAKMP SA 的 加 密 算法 , 散 列 算法 等 
a 反 向 路 由 
. 登录 用 户 名 和 口令 的 有 关 信 息 
. Easy VPN 服务 器 IP 

10. 使 用 哪 条 命令 可 以 在 Easy VPN 客户 端 与 服务 器 建立 安全 隧道 时 ,将 反 向 路 由 
注入 路 由 表 中? ( ) 


A. reverse-route B. ip route reverse 


onan 


C. route-reverse D. router reverse enable 
ar 
5.7 ‘Kill 


5.7.1 站 到 站 VPN 配置 
1. 实 训 组 织 
实 训 学 时 : 100 分 钟 。 
学 生 分 组 : 2 人 /组 。 
2. 实 训 目 的 
通过 实 训 ,熟练 掌握 路 由 器 的 预 共 享 密 钥 站 到 站 VPN 的 安全 配置 基本 操作 。 


3. 实 训 环境 

(1) 安装 有 Windows 系统 和 Cisco VPN 客户 端 软件 的 PC, 每 组 2 台 。 
(2) Cisco 2811 路 由 器 (支持 VPN 功能 ) ,每 组 2 台 。 

G) 可 划分 VLAN 的 交换 机 1 台 。 

(4) UTP 交叉 电缆 ,每 组 1 条 。 

(5) UTP 直通 电缆 ,每 组 2 条 。 

(6) Console 电缆 ,每 组 1 条 。 

注意 保持 所 有 路 由 器 ,交换 机 为 出 厂 配 置 。 
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4. 实 训 准 备 


实 训 开始 前 ,按照 图 5-26 所 示 网 络 拓扑 连接 好 网 络 , 按 表 5-10 所 示 配 置 网 络 设备 、 
主机 的 网 络 连接 。 按 照 第 4 章 分 支 机 构 B-1 地 址 转换 方案 在 实 训 网 络 中 分 支 机 构 B-1 的 
边界 路 由 器 上 配置 地 址 转换 ,并 测试 网 络 连 通 性 。 


表 5-10 站 到 站 VPN 配置 实 训 IP 分 配 


接 口 IP 地 址 /网 络 前 级 网 关 
分 公司 1 边界 路 由 器 | Fa0/0 200. 100. 12. 254/24 
C3845-2-1-1 S1/0 3È Fa0/1 200. 100. 15. 205/30 
Fa0/1. 10 200. 100. 11. 14/28 
Fa0/1. 15 10. 0. 0. 30/28 


分 支 机 构 B-1 边界 路 


Fa0/1. 20 10. 0. 2. 254/24 
由 器 C3845-2-20-1 
Fa0/1. 30 10. 0. 3. 254/24 
S1/0 或 Fa0/1 200. 100. 15. 206/30 
PCa 200. 100. 12. 1/24 200. 100. 12. 254 

5. 实 训 内 容 
预 共享 密 钥 站 到 站 VPN 配置 。 
6. 实 训 指 导 


(1) 检查 网 络 连通 性 及 网 络 访问 控制 配置 
在 配置 VPN 前 ,必须 保证 网 络 基本 连通 性 。 使 用 ping. show ip route 等 命令 检查 
图 5-26 所 示 网 络 中 ,PCa 是 否 能 够 ping 通 PCb， 
路 由 器 上 路 由 是 否 正确 。 f" mE 
使 用 show ip access-list 命令 检查 路 由 器 上 现 a 1 | 
有 访问 控制 ,是 否 允许 ISAKMP 协议 使 用 UDP | A | 
500 端口 进行 访问 。 | ' 
(2) 站 到 站 VPN 配置 ' 
分 别 在 分 公司 1 和 分 支 机 构 B-1 的 边界 路 由 
器 上 配置 以 下 内 容 。 
创建 定义 受 保护 网 络 的 ACL eacl-vpn。 / 
定义 ISAKMP 策略 ,优先 级 为 1。 
定义 预 共享 密 钥 为 123。 


了 ` 
1 
| 
* 定义 变换 集 ts-vpn。 | aa? | 
* 定义 保护 流量 的 ACL eacl-vpn. ! ! 
。 定义 加 密 图 map-vpn。 | PCb LI | 
* 将 所 定义 的 加 密 图 应 用 到 正确 接口 上 。 s l 分 支 机 构 B-1 LAN | 
分 公司 1 边界 路 由 器 上 具体 配置 操作 如 下 。 


边界 路 由 器 
C3845-2-20-1 


图 5-26 ”站 到 站 VPN 配置 实 训 网 络 拓扑 
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PA C3845-2-20-1 (config) & crypto isakmp policy 1 
C3845-2-20-1(Cconfig-isakmp) # authentication  pre-share 
C3845-2-20-1(config-isakmp) # group 2 
C3845-2-20-1 (config-isakmp) & exit 
C3845-2-20-l(config) # crypto isakmp key 123 address 200.100.15.206 
C3845-2-20-l(config) # crypto  ipsec transform-set ts-vpn esp-md5-hmac esp-3des 
C3845-2-20-1(cfg-crypto-trans) + exit 
C3845-2-20-1Cconfig) fip access-list extended eacl-vpn 
C3845-2-20-1Cconfig-ext-nacD # permit ip 200.100.12.0 0.0.0.255 200.100.15.0 0.0.0. 63 
C3845-2-20-1(config-ext-nacl) # exit 
C3845-2-20-l(config) # crypto map map-vpn 10 ipsec-isakmp 
C3845-2-20-1(config-crypto-map) # set peer 200.100. 15. 206 
C3845-2-20-1(config-crypto-map) # set transform-set ts-vpn 
C3845-2-20-1(config-crypto-map) # match address eacl-vpn 
C3845-2-20-1Cconfig-crypto-map) # exit 
C3845-2-20-1(Cconfig) # interface $1/0 
C3845-2-20-1(config-if) # crypto map  map-vpn 


分 支 机 构 B-1 边界 路 由 器 上 的 具体 操作 如 下 。 


C3845-2-20-l(config) # crypto isakmp policy 1 

C3845-2-20-1Cconfig-isakmp) # authentication pre-share 

C3845-2-20-1(config-isakmp) # group 2 

C3845-2-20-1(config-isakmp) # exit 

C3845-2-20-1 (config) f erypto isakmp key 123 address 200. 100. 15.205 
C3845-2-20-1Cconfig) # crypto ipsee transform-set ts-vpn esp-md5-hmac esp-3des 
C3845-2-20-1(cfg-crypto-trans) # exit 

C3845-2-20-l(config) + ip access-list extended  eacl-vpn 

C3845-2-20-1(config-ext-nacD # permit ip 200.100.15.0 0.0.0.63 200.100.12.0 0.0.0, 255 
C3845-2-20-1(Cconfig-ext-nacl) £ exit 

C3845-2-20-l(config) # crypto map map-vpn 10 ipsec-isakmp 
C3845-2-20-1Cconfig-crypto-map) set peer 200. 100. 15.205 
C3845-2-20-1Cconfig-crypto-map) # set transform-set ts-vpn 
C3845-2-20-1(Cconfig-crypto-map) # match address eacl-vpn 

C3845-2-20-1 (config-crypto-map) # exit 

C3845-2-20-1 (config) # interface $1/0 

C3845-2-20-1(config-if) # crypto map map-vpn 


(3) 检查 VPN 配置 

在 配置 过 程 中 ,使 用 show crypto isakmp  policy,show crypto ipsec transform- 
set,show crypto map,debug crypto  ipsec,debug crypto  isakmp 等 命令 检查 
VPN 配置 是 否 正确 。 

配置 完成 后 ,分别 测试 PCb 在 不 同 VLAN 中 能 否 ping 通 PCa, 分 公司 1 边界 路 由 器 
接口 。 


7. 实 训 报告 
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1. 在 进行 VPN 配置 前 ,测试 网 络 连通 性 。 


PCb | IP 地 址 /网 络 前 级 网 关 在 PCa 上 使 用 的 测试 命令 测试 结果 解释 原因 
1 | 200.100.11.1 200. 100. 11. 14 | ping 通 口 不 通 
2 | 10.0.0.18 10. 0.0. 30 ping 通 口 不 通 口 
3 | 10.0.2.1/24 10. 0. 2. 254 ping 3i D) 不 通 
4 | 10.0.3.1/24 10. 0. 3. 254 ping 通 口 不 通 

2. 在 完成 VPN 配置 后 ,测试 网 络 连 通 性 。 

PCb | IP 地 址 /网 络 前 缀 网 关 在 PCa 上 使 用 的 测试 命令 测试 结果 
1 | 200.100.11.1 200. 100. 11. 14 | ping 3i D) 不 通 
2 |10.0.0.18 10.0.0.30 ping i C) 不 通 口 
3 |10.0.2.1/24 10. 0. 2. 254 ping 3i C) 不 通 
4 |10.0.3.1/24 10. 0. 3. 254 ping 3i D) 不 通 


3. 当 从 PCa 发 送 ICMP 数据 到 分 支 机 构 B-1 边界 路 由 器 的 接口 S1/0 时 ,其 IP 报头 中 


WIP 地 址 为 : 


* 目 的 IP 地 址 为 : 


4. 跟踪 ISAKMP SA IPSec SA 建立 过 程 , 回 答 问 题 。 
(1) VPN 隧道 两 端 对 等 体 上 ISAKMP 策略 的 优先 级 是 否 一 定 相同 ? 配置 不 同 优先 级 对 ISAKMP 


SA 的 建立 有 何 影响 ? 


(2) 在 进行 ISAKMP SA 建立 过 程 中 ,进行 认证 的 预 共享 密 钥 明 文 是 否 在 网 络 上 传递 ? 


(3) 简 述 ISAKMP SA 和 IPSec SA 协商 建立 过 程 。 


5.7.2 远程 访问 VPN 配置 


1. 实 训 组 织 


实 训 学 时 : 100 分 钟 。 


学 生 分 组 : 2 人 /组 。 


2. 实 训 目 的 


通过 实 训 , 熟 练 掌握 交换 机 端口 安全 配置 基本 操作 。 


3. 实 训 环 境 


(1) 安装 有 Windows 系统 、 网 络 监听 软件 (Wireshark) 的 PC, 每 组 2 台 。 
(2) Cisco 路 由 器 (支持 VPN 功能 ) .每 组 1 台 。 
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rd (3) UTP 直通 电缆 ,每 组 2 条 。 

(4) UTP 交叉 电缆 ,每 组 1 条 。 

(5) Console 电缆 ,每 组 1 条 。 

注意 保持 所 有 的 交换 机 、 路 由 器 为 出 厂 配 置 。 


4. 实 训 准备 
实 训 开始 前 ,按照 图 5-27 所 示 网 络 拓扑 连接 好 网 络 , 并 按 表 5-11 所 示 配 置 好 PCa、 
PCb 及 路 由 器 各 接口 IP 地 址 、 路 由 等 ,保证 网 络 连通 。 


表 5-11 Easy VPN 实 训 IP 地 址 分 配 


接 a IP 地址/ 网络 前 级 网 关 地 址 
路 由 器 接口 Fa0/1 200. 100. 15. 206/30 
路 由 器 接口 Fa0/0 10. 0. 0. 1/24 
PCa 200. 100. 15. 205/30 200. 100. 15. 206 
PCb 10. 0. 0. 254/24 10. 0.0.1 
5. 实 训 内 容 
远程 访问 VPN 配置 实现 。 
6. 实 训 指导 
Fa0/1 

(D 配置 Easy VPN Server XE. - - - - ------ N 

Minis MEL ey 边界 路 由 器 
在 远程 访问 服务 器 上 ,如 下 配置 分 支 机构 B-1 C3845-2-20-1 


边界 路 由 器 为 Easy VPN Server, 


VPN-Ser(config) # aaa new-model 
VPN-Ser (config) # aaa authentication login 分 支 机 构 B-1 LAN 
asa-rvpa beal — — — |] — SS SS See ee 
VPN-Ser ( config) # aaa authorization network 图 5-27 ”远程 访问 VPN 实 训 网 络 示意 图 
aaa-rvpn local 

VPN-Ser( config) # username rvpn password 0 123 

VPN-Ser(config) # erypto isakmp policy 1 

VPN-Ser(config-isakmp) # encrytion  3des 

VPN-Ser(config-isakmp) # hash mds 

VPN-Ser(config-isakmp) # authentication pre-share 

VPN-Ser(config-isakmp) # group 2 

VPN-Ser(config-isakmp) # exit 

VPN-Ser(config) # ip local pool pool-rvpn 10.0.0.10 10.0.0. 20 
VPN-Ser(config-isakmp-group) # crypto isakmp client configuration group grp-rvpn 
VPN-Ser(config-isakmp-group) # key 123 

VPN-Ser(config-isakmp-group) # pool pool-rvpn 

VPN-Ser(config-isakmp-group) # include-local-lan 

VPN-Ser(config-isakmp-group) # netmask 255, 255, 255.0 

VPN-Ser(config-isakmp-group) # exit 

VPN-Ser(config) # crypto ipsec transform-set ts-rvpn esp-3des esp-md5-hmac 
VPN-Ser(cfg-crypto-trans) # exit 

VPN-Ser(config) # crypto dynamic-map dmap-rvpn 10 

VPN-Ser(config-crypto-map) # set transform-set ts-rvpn 
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VPN-Ser(config-crypto-map) + reverse-route 

VPN-Ser(config-crypto-map) # exit 

VPN-Ser(config) # crypto map map-rvpn client authentication list aaa-rvpn 

VPN-Ser(config) # crypto map map-rvpn isakmp authorization list aaa-rvpn 

VPN-Ser(config) # crypto map map-rvpn client configuration address respond 

VPN-Ser(config) # crypto map map-rvpn 10 ipsec-isakmp dynamic dmap-rvpn 

VPN-Ser( config) # interface FastEthernet1/0 

VPN-Ser(config-if) # crypto map map-rvpn 

VPN-Ser(config-if) # exit 

VPN-Ser(config) # crypto isakmp keepalive 10 

(2) 配置 Easy VPN 客户 端 ,建立 并 测试 VPN 连接 

参考 5. 3. 2 小 节 配 置 PCb 上 的 Cisco VPN 客户 端 ,建立 VPN 连接 。 同 时 在 Easy 
VPN 服务 器 上 使 用 debug 命令 跟踪 ISAKMP SA 和 IPSec SA 建立 过 程 。 

在 PCa 上 使 用 ipconfig 命令 检查 是 否 已 出 现 VPN 客户 端 建立 的 虚拟 网 卡 , 其 IP 是 
WH Easy VPN 服务 器 端 地 址 池 中 定义 的 地 址 。 

在 PCa 上 使 用 ping 测试 能 否 ping 通 PCb ,并 在 测试 时 ,使 用 Wireshark 软件 监听 
ESP 报 文 格式 。 


7. 实 训 报告 


1. 简 述 Easy VPN 服务 器 配置 基本 步骤 。 


2. 如 果 内 部 网 络 地 址 为 30. 0. 0. 0/24, 则 Easy VPN 服务 器 上 的 如 下 命令 应 修改 为 什么 ? 
VPN-Ser(config) # ip local pool pool-rvpn 


3. 记录 Wireshark 软件 监听 到 的 ESP 报 文 结构 。 


4. VPN 安全 隧道 建立 完成 后 ,在 PCa 上 使 用 ipconfig 命令 查看 PCb VPN 虚拟 网 络 接口 的 各 项 配置 
如 下 。 
以 太 网 适配器 本 地 连接 : 


连接 特定 的 DNS 后 级 .….......: 
:| : Cisco Systems VPN Adapter 
PT 

DHCP &JH...... Lese E 

自动 配置 已 启用 . . we 


IPv4 地 址 ... hi alicia 
SEBURERS ce er eee : 
DNS BH 88.......uueuuuuue : 10.0.0.1 
TCP/IP 上 的 NetBIOS. ........ : 已 启用 


5. VPN 安全 隧道 建立 完成 后 ,在 PCa 上 测试 到 PCb 的 网 络 连通 性 的 命令 及 结果 如 下 。 
ping 。 通 不 通 
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本 章 任务 : 根据 工程 任务 安全 需求 分 析 , 解 决 网 络 边界 安全 中 防火 墙 基本 配置 问题 。 
必 备 知识 : (1) 防火 墙 工作 原理 。 
(2) 防火 墙 网 络 连 通 性 配置 。 
(3) 防火 墙 VPN 配置 。 
学 习 目 标 : 完成 模拟 公司 网 络 边 界 防 火 墙 的 安全 配置 ,防御 来 自 Internet 的 安全 
威胁 。 


6.1 模拟 公司 总 部 网 络 内 外 网 边界 安全 任务 分 析 


模拟 公司 总 部 网 络 安 全 通信 需求 如 下 。 

CD 模拟 公司 总 部 Web 服务 器 、 邮 件 服务 器 需 对 外 提供 24 小 时 服务 。 

(2) 模拟 公司 总 部 网 络 内 主机 可 以 访问 Internet 上 各 种 资源 ,但 非 公司 所 属 机 构 的 
外 部 网 络 主机 ,不 能 主动 连接 模拟 公司 总 部 网 络 内 主机 。 

(3) 模拟 公司 总 部 与 分 支 机 构 网 络 间 所 有 通信 , 需 进 行 加 密 保护 。 

(4) 网 管 员 需 能 利用 Internet 线路 ,在 受 保护 的 安全 通道 上 远程 管理 总 部 的 网 络 
设备 。 

以 上 安全 通信 需求 虽然 可 以 使 用 配置 了 ACL 的 路 由 器 来 实现 ,但 路 由 器 的 主要 功 
能 是 进行 数据 转发 和 路 由 , 当 网 络 流量 较 大 时 ,难以 保障 网 络 性 能 。 为 解决 网 络 安全 与 性 
能 间 的 矛盾 ,模拟 公司 总 部 网 络 选择 在 网 络 边界 上 配置 硬件 防火 墙 来 完成 网 络 通信 过 滤 
等 安全 功能 ,如 图 6-1 所 示 。 

但 要 满足 以 上 所 述 通信 安全 需求 ,在 防火 墙 上 还 需 完 成 以 下 配置 。 

d) 基本 网 络 连通 性 配置 。 

(2) 配置 访问 控制 ,允许 外 部 网 络 访问 内 部 Web 邮件 服务 。 

(3) 配置 访问 控制 ,允许 外 部 网 络 对 内 部 网 络 已 建立 连接 的 访问 ,但 禁止 所 有 其 他 
TCP 连接 。 

(4) 配置 VPN, 保 障 模拟 公司 总 部 与 分 支 机 构 网 络 间 通 信 。 

(5) 配置 VPN, 保 障 网 管 员 能 远程 访问 模拟 公司 总 部 网 络 内 的 网 络 设 备 。 
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图 6-1 模拟 公司 总 部 防火 寺 
6.2 ”防火墙 简介 


1. 防火 墙 概 念 及 类 型 

防火 墙 (Firewall) 一 词 在 计算 机 网 络 中 用 来 代表 在 网 络 间 进行 访问 控制 的 系统 。 它 
可 以 是 软件 ,如 运行 在 用 户 计算 机 上 防御 恶意 攻击 或 非法 访问 的 个 人 防火 墙 软 件 ; 也 可 
以 是 硬件 ,与 使 用 ACL 的 路 由 器 相 比 ,硬件 防火 墙 使 用 专用 硬件 、 软 件 对 网 络 间 访问 进 
行 控制 ,可 以 在 不 影响 网 络 性 能 的 情况 下 提供 安全 保障 。 

按 工作 方式 分 .防火墙 有 * 包 过 滤 ?“ 代 理 服务 器 ?和 * 基 于 状态 的 包 过 滤 ”3 种 。 

(1)“ 包 过 滤 ? 类 似 于 无 状态 ACL, 防 火 墙根 据 报头 信息 对 进入 网 络 的 报 文 进行 过 
滤 , 不 会 记录 内 外 通信 会 话 状态 信息 。 

(2)“ 代 理 服务 器 ”防火 墙 会 代 蔡 内 部 网 络 主机 向 外 部 网 络 服务 器 发 出 请 求 , 并 将 响 
应 反馈 给 内 部 网 络 主机 ,然而 缓存 请 求 与 响应 都 需要 消耗 大 量 系统 资源 。 

(3)“ 基 于 状态 的 包 过 滤 ” 防 火 墙 类 似 于 CBAC, 通 过 记录 会 话 状 态 信 息 对 进入 网 络 
的 报 文 进行 过 滤 。 

2. 防火 墙 默 认 访问 控制 规则 

防火 墙 产 品 在 访问 控制 方面 一 般 都 有 一 些 默认 处 理 规则 ,例如 Cisco 防火 墙 产 品 
PIX 使 用 ASA(Adapter Security Appliances ,适应 性 安全 算法 ) 对 通过 防火 墙 的 流量 进行 
过 滤 ,ASA 默认 的 报 文 过 滤 规 则 如 下 。 

CD 在 没有 任何 有 关 状 态 信息 情况 下 .Cisco PIX 防火 墙 不 允许 任何 报 文 穿 过 防 
火 墙 。 
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(2) 从 Cisco PIX 防火 墙 接口 进入 的 报 文 不 能 再 从 同一 接口 流出 。 

(3) 出 站 (outbound) 连 接 默 认 是 被 允许 的 ,除非 配置 了 禁止 的 ACL 条 目 。 注 意 ,出 
站 报 文 是 指 从 防火 墙 高 安全 级 别 接口 流向 低 安全 级 别 接口 的 报 文 。 

(4) 和 站 (inbound) 连 接 默认 是 被 禁止 的 ,除非 配置 了 允许 的 ACL 条 目 。 注 意 , 入 站 
报 文 是 指 从 防火 墙 低 安全 级 别 接口 流向 高 安全 级 别 接口 的 报 文 。 

C5) 如 果 不 进行 特别 配置 , 则 ICMP 报 文 均 被 禁止 。 

(6) 防火 墙 在 按 上 述 规则 过 滤 报 文 时 ,会 记录 系统 日 志 。 


3. 接口 安全 级 别 与 DMZ 

Cisco PIX 防火 墙 防火 墙 使 用 0 一 100 的 数字 来 定义 安全 级 别 , 接 口 安全 级 别 数 字 越 
大 ,表示 接口 安全 级 别 越 高 ,接口 所 连接 的 网 络 越 应 受到 更 高 安全 保护 。 

Cisco PIX 防火 墙 支持 为 接口 命名 ,以 便于 管理 。inside outside 和 dmz 为 防火 墙 上 
3 个 带 有 特定 含义 的 接口 名 。 

inside 接口 默认 安全 级 别 为 100, 安 全 级 别 最 高 ,一般 用 于 连接 内 部 网 络 。 

outside 接口 默认 安全 级 别 为 0, 安 全 级 别 最 低 , 一 般 用 于 连接 外 部 网 络 。 

dmz 接口 默认 安全 级 别 为 0, 安 全 级 别 也 最 低 ,用 于 连接 非 军事 化 区 网 络 
(demilitarized zone)。 非 军事 化 区 网 络 是 企业 内 部 网 络 中 在 安全 级 别 比 外 部 网 络 高 ,但 
比 内 部 网 络 低 的 网 络 ,企业 内 部 网 络 中 那些 需要 对 外 提供 网 络 服务 的 服务 器 被 放置 在 非 
军事 化 区 网 络 中 ,这 样 有 利于 保护 企业 内 部 网 络 中 的 其 他 主机 。 


6.3 网 络 连通 性 配置 


任何 网 络 设备 加 入 到 网 络 中 时 ,配置 网 络 连通 性 都 是 第 一 项 要 做 的 工作 ,Cisco PIX 
防火 墙 也 不 例外 。 与 路 由 器 的 网 络 连 通 性 配置 类 似 ,Cisco PIX 防火 墙 网 络 连 通 性 配置 的 
基本 步骤 如 表 6-1 所 示 。 


表 6-1 Cisco PIX 防火 墙 网 络 连通 性 配置 步骤 


序 号 操 作 相关 命令 是 否 必要 
步骤 | 配置 接口 名 nameif 是 

步骤 2 | 配置 接口 优先 级 | security-level 根据 情况 使 用 
步骤 | 配置 接口 地 址 ip address 是 

步骤 4 | 启用 接口 no shut 是 

步骤 5 | 配置 路 由 route, router 等 是 

步骤 6 | 配置 地 址 转换 | global nat 或 static 非 透明 模式 必要 
步骤 7 | 配置 访问 控制 access-list access-group 是 

步骤 8 | 检查 网 络 连通 性 | show interface ip show ip address,show route ping 等 “| 可 选 


6.3.1 接口 及 路 由 配置 


1. 配置 接口 名 
Cisco PIX 防火 墙 接口 只 有 被 命名 后 ,其 IP 功能 才能 启用 。 在 Cisco PIX 防火 墙 上 ， 
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为 接口 命名 的 操作 是 在 接口 配置 模式 下 输入 : 


nameif 接口 名 

参数 “接口 名 ”用 于 定义 该 防火 墙 接口 的 名 字 ,该 名 字 为 一 个 小 于 49 个 字符 长 度 的 字 
符 串 。 如 果 使 用 inside 命名 接口 , 则 接口 优先 级 自动 被 设置 为 100, 而 设置 为 outside、 
dmz 或 其 他 字符 串 时 ,接口 优先 级 均 被 自动 设置 为 0。 

2. 配置 接口 安全 级 别 

如 上 所 述 ,Cisco PIX 防火 墙 在 配置 接口 名 时 ,系统 会 自动 为 其 分 配 安全 级 别 。 但 如 
果 自 动 分 配 的 安全 级 别 与 所 需 不 符 , 则 可 以 在 接口 配置 模式 下 输入 : 

security-level ”安全 级 别 

参数 “安全 级 别 ” 用 于 定义 所 需 的 安全 级 别 数值 ,范围 为 0 一 100。 

3. 检查 接口 IP 地 址 配置 

在 Cisco PIX 防火 墙 上 ,检查 接口 IP 地 址 配置 情况 的 操作 命令 与 路 由 器 上 稍 有 不 同 。 

在 特权 模式 下 输入 : 

show interface ip brief [0] 
或 者 

show ip address [outside | inside] Q 
都 可 以 查看 接口 上 IP 地 址 配置 情况 ,但 使 用 命令 四 还 可 以 查看 到 接口 当前 链 路 状态 ,而 
命令 @ 可 以 查看 到 接口 名 配置 情况 。 

在 Cisco PIX 防火 墙 上 ,分别 使 用 命令 中 .加 查看 接口 TP 地 址 配置 情况 的 输出 结果 
如 下 。 

fw# show ip address 

System IP Addresses: 


Interface Name IP address Subnet mask Method 
Ethernet outside 10. 0. 0. 254 255. 255. 255.0 manual 
Ethernet inside 10.1 1.1 255. 255. 255.0 manual 
Current IP Addresses: 

Interface Name IP address Subnet mask Method 
Ethernet outside 10. 0. 0. 254 255. 255. 255.0 manual 
Ethernet inside 10:3, 1.1 255. 255. 255.0 manual 
fw# show interface ip brief 

Interface IP-Address OK Method Status 

Protocol 

Ethernet0 10. 0. 0. 254 YES manual up 

up 

Ethernetl unassigned YES unset administratively down up 
Ethernet2 unassigned YES unset administratively down up 
Ethernet3 unassigned YES unset administratively down up 
Ethernet4 10: 1. 1.1 YES manual up 


up 
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6.3.2 路 由 配置 及 检查 

由 于 防火 墙 的 主要 功能 不 是 进行 路 由 ,所 以 Cisco PIX 防火 墙 支持 的 动态 路 由 协议 
有 限 , 可 以 支持 RIPLOSPF 等 ,在 Cisco PIX 防火 墙 上 配置 动态 路 由 的 命令 与 Cisco IOS 
路 由 器 上 相同 。 

在 Cisco PIX 防火 墙 上 配置 静态 路 由 的 操作 为 在 全 局 模式 下 输入 : 


route 接口 名 目的 网 络 地 址 子 网 掩 码 MIP [度量 值 ] 


参数 “目的 网 络 地址 ”“ 子 网 掩 码 ” 用 于 定义 路 由 中 的 目的 网 络 。 

参数 “网 关 IP” 用 于 定义 防火 墙 到 达 目 的 网 络 的 网 关 ( 下 一 跳 ) 地 址 。 

参数 “度量 值 ” 定 义 该 路 由 到 达 目 的 网 络 的 距离 。 

参数 “接口 名 ”定义 要 到 达 目 的 网 络 防火 墙 的 送出 接口 。 

在 Cisco PIX 防火 墙 上 配置 OSPF 动态 路 由 协议 的 基本 操作 与 路 由 器 相似 ,在 全 局 
模式 下 输入 如 下 命令 ,可 以 完成 启用 OSPF 路 由 进程 ,并 配置 路 由 发 布 网 络 的 操作 。 


router ospf OSPF 进程 号 
network ”网 络 号 FRE area 区 域 号 
注意 : 在 防火 墙 上 发 布 网 络 时 ,使 用 " 子 网 掩 码 "而 不 是 通配符 。 
配置 完 路 由 后 ,可 以 在 Cisco PIX 防火 墙 上 使 用 show 命令 查看 防火 墙 路 由 表 , 以 检 
查 路 由 配置 。 具 体操 作为 在 特权 模式 下 输入 : 


show route 
该 命令 输出 结果 如 下 。 
fw# show route 


Codes: C-connected, S-static, I-IGRP, R-RIP, M-mobile, B-BGP 
D-EIGRP, EX-EIGRP external, O-OSPF, IA-OSPF inter area 
N1-OSPF NSSA external type 1, N2-OSPF NSSA external type 2 
E1-OSPF external type 1, E2-OSPF external type 2. E-EGP 
i-IS-IS, L1-IS-IS level-1, L2-IS-IS level-2, ia-IS-IS inter area 
* -candidate default, U-per-user static route, o-ODR 
P-periodic downloaded static route 


Gateway of last resort is not set 


C 10. 1. 1. 0 255. 255. 255. 0 is directly connected, inside 
C 10. 0. 0. 0 255. 255. 255. 0 is directly connected, outside 
S 200. 100. 10. 0 255. 255. 255. 0[ 1/0 ]via 10. 0. 0. 1, outside 


6.3.3 ”地址 转换 配置 

根据 Cisco PIX 防火 墙 默认 访问 控制 规则 ,必须 配置 相应 的 访问 控制 ,允许 必要 的 外 
网 流量 进入 防火 墙 ,才能 实现 内 外 网 通信 。 但 对 于 工作 在 非 透明 模式 的 防火 墙 ,只 有 配置 
地 址 转换 后 ,访问 控制 列表 才能 够 发 挥 功效 。 因 此 为 实现 网 络 连通 性 .还 需 先 配置 内 外 网 
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地 址 转换 。 

另外 ,防火 墙 作 为 独立 的 安全 设备 ,相对 路 由 器 能 够 保存 更 多 的 地 址 转换 信息 ,因此 
比 路 由 器 更 适 于 完成 网 络 的 地 址 转换 功能 。 

1. 静态 NAT 配置 

在 Cisco PIX 防火 墙 上 配置 静态 NAT 的 操作 步骤 如 表 6-2 所 示 。 与 在 路 由 器 上 配 
置 NAT 相 比 , 在 Cisco PIX 防火 墙 上 配置 址 转换 映射 条 目 时 ,将 地 址 转换 应 用 的 接口 及 
地 址 映射 一 并 定义 ,所 以 省 略 了 定义 地 址 转换 内 、 外 网 接口 的 步骤 。 


表 6-2 静态 NAT 配 置 步骤 


序 号 操 作 相关 命令 是 否 必要 

步骤 1 定义 地 址 转换 映射 条 目 static 是 

步骤 2 检查 地 址 映射 配置 px DES 
show conn 


CD 定义 地 址 转换 映射 条 目 

在 Cisco PIX 防火 墙 上 ,配置 静态 NAT 地 址 转换 映射 条 目的 操作 为 在 全 局 配置 模式 
下 输入 : 

static (接口 名 a, 接口 名 b) 全 局 地 址 或 映射 地 址 { 原 全 地 址 [netmask 子 网 掩 码 ]| 

access-list ACL 名 } 

参数 对 “(接口 名 a, 接 口 名 b)” 用 于 定义 地 址 转换 在 哪 两 个 接口 间 进行 。 排 在 左边 的 
接口 名 为 地 址 转换 的 原 接口 或 内 部 接口 , 排 在 右边 的 为 地 址 转换 的 映射 接口 或 外 部 接口 。 

参数 “全 局 地 址 或 映射 地 址 ”用 于 指定 地 址 被 转换 为 哪个 全 局 地 址 或 映射 地 址 。 

参数 “ 原 TP 地 址 ”用 于 指定 被 转换 的 地 址 。 可 以 使 用 关键 字 network RAAF 16 
码 ” 配 合 参数 “ 原 IP 地 址 ?定义 一 个 原 地 址 段 以 进行 一 个 网 络 到 另 一 个 网 络 的 静态 一 对 一 
地 址 转换 。 该 命令 中 也 可 以 使 用 关键 字 access-list 及 参数 “ACL 名 ”来 代替 参数 “ 原 地 
址 ”, 定 义 要 被 转换 的 地 址 段 。 

例如 ,如 果 要 将 内 部 网 络 10. 0. 0. 0/24 的 地 址 转换 为 公共 IP 地 址 段 200. 100. 10. 0/24, 
则 相应 的 命令 如 下 。 


fw(config) # static (inside,outside) 200.100.10.0 10.0.0.0 netmask 255, 255. 255.0 


SCAN, WE BEG Sb aS a HE Pd A HY Jb hb: 200. 100. 10. 1 转换 为 10. 1. 10. 1, 则 相应 命令 
如 下 。 


fw(config) + static (outside.inside) 10.1.10.1 200.100.10.1 


(2) 检查 地 址 映射 配置 
在 Cisco PIX 防火 墙 的 特权 模式 下 输入 show xlate 命令 ,可 以 检查 地 址 转换 映射 条 
目 配置 ,其 输出 结果 如 下 。 


fw# show xlate 
lin use. 1 most used 
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Global 200.100.10.0 Local 10.0.0.0 

在 特权 模式 下 输入 show conn 命令 ,可 以 查看 当前 防火 墙 上 通信 会 话 情况 ,其 输出 结 
果 如 下 ,配合 show xlate 命令 可 以 查看 当前 内 网 哪些 主机 正在 通过 地 址 转换 与 外 网 主机 
通信 。 

fw# show conn 

16 in use, 22 most used 

ICMP out 200. 200. 200. 200:0 in 10. 0. 0. 253:3637 idle 0:00:01 bytes 72 

ICMP out 200. 200. 200. 200:0 in 10. 0. 0. 253:3636 idle 0:00:01 bytes 72 

该 输出 结果 显示 内 部 主机 10. 0. 0. 253 与 外 部 主机 200. 200. 200. 200 之 间 在 进行 
ICMP 会 话 。 

2. 动态 NAT 配置 

在 Cisco PIX 防火 墙 上 定义 动态 NAT 的 配置 步骤 如 表 6-3 所 示 。 

表 6-3 动态 NAT 配 置 步 骤 


序 号 操 作 相关 命令 是 否 必要 
步骤 1 定义 转换 后 地 址 池 global 是 
步骤 2 定义 被 转换 地 址 范围 nat 是 
步骤 3 检查 NAT 转换 配置 show xlate 可 选 


当 在 Cisco PIX 防火 墙 上 配置 动态 NAT 时 , 需 分 别 使 用 global 和 nat 命令 定义 地 址 
池 和 被 转换 的 地 址 范围 。 

CD 定义 转换 后 地 址 池 

在 Cisco PIX 防火 墙 上 ,定义 地 址 池 的 操作 为 在 全 局 配置 模式 下 输入 : 

global 《接口 名 ) 地 址 转换 条 目 序 号 { 地 址 | 起 始 地 址 -结束 地 址 } 


参数 “接口 名 ”指定 全 局 地 址 对 应 的 接口 。 例 如 对 于 内 部 地 址 转换 ,此 处 应 为 连接 外 
部 网 络 的 接口 的 名 字 ; 而 对 于 外 部 地 址 转换 ,此 处 应 为 连接 内 部 网 络 的 接口 的 名 字 。 

参数 “地 址 转换 条 目 序号 ?是 从 0 一 2147483647 的 序号 ,该 序号 用 于 将 global 命令 定 
义 的 地 址 池 和 nat 命令 定义 的 需 被 转换 地 址 绑 定 在 一 起 。 

参数 “地 址 ?或 参数 “起 始 地 址 -结束 地 址 ?用 于 定义 全 局 地 址 池 范 围 。 

(2) 定义 被 转换 地 址 范围 

在 Cisco PIX 防火 墙 上 ,定义 被 转换 地 址 范围 的 操作 为 在 全 局 配置 模式 下 输入 : 


nat (接口 名 ) 地 址 转换 条 目 序号 { 地 址 [netmask 子 网 掩 码 ]} | access-list ACL 名 } 


参数 “接口 名 ?指定 被 转换 地 址 来 自 哪个 接口 。 例 如 对 于 内 部 地 址 转换 ,此 处 应 为 连 
接 内 部 网 络 的 接口 的 名 字 。 

参数 “地 址 转换 条 目 名 ”与 global 命令 中 的 地 址 转换 条 目 名 参数 相对 应 。 

参数 “地 址 ”与 关键 字 netmask、 参 数 “ 子 网 掩 码 "用 于 定义 被 转换 地 址 的 范围 ,如 果 此 
处 “地 址 ”为 0, 则 表示 所 有 地 址 。 关 键 字 access-list 和 参数 “ACL 名 ”可 以 替换 参数 “地 
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址 ”等 用 于 定义 被 转换 地 址 的 范围 。 N 


例如 , 若 要 进行 内 部 地 址 转换 ,将 内 部 网 络 10. 0. 0. 0/24 中 所 有 地 址 动态 转换 到 
200. 100. 10. 0/24, 则 可 以 如 下 定义 。 


fw(config) # global (outside) 1 200. 100. 10. 8-200. 100. 10. 17 

fw(config) # nat (inside) 1 10.0.0.0 255.255.255.0 

(3) 检查 动态 NAT 配置 

在 配置 动态 NAT 后 ,由 于 是 动态 从 地 址 池 选 择 地 址 进行 转换 ,因此 在 没有 内 外 通信 
连接 时 ,使 用 show xlate 命令 看 不 到 任何 转换 条 目 , 如 下 所 示 。 


fw# show xlate 
0 in use, 1 most used 


当 内 外 网 有 通信 连接 时 ,使 用 show xlate 命令 会 看 到 动态 形成 的 地 址 转换 映射 ,如 
下 所 示 。 


fw# show xlate 

0 in use, 1 most used 

fw# show xlate 

1 in use, 1 most used 

Global 200. 100. 10. 8 Local 10. 0. 0. 253 

(4) 配置 防火 墙 不 进行 地 址 转换 

注意 ; 当 nat 命令 中 地 址 转换 条 目 序 号 为 0, 防火 墙 不 进行 地 址 转换 。 

例如 ,车 不 需 防火 墙 实现 地 址 转换 ,但 为 保证 内 外 网 络 能 通过 防火 墙 进 行 通信 ,可 以 
配置 一 条 序号 为 0 的 nat 实现 ,如 下 所 示 。 


fw(config) # nat (inside) 0 10.0.0.0 255.255.255.0 


此 时 使 用 show xlate 命令 查看 地 址 转换 映射 ,会 发 现 内 部 地 址 未 被 转换 ,而 是 直接 
使 用 内 部 地 址 。 


fw# show xlate 
1 in use, 1 most used 
Global 10.0.0.253 Local 10.0.0.253 


3. 动态 PAT 配置 

在 Cisco PIX 防火 墙 上 定义 动态 PAT 的 操作 与 配置 动态 NAT 相似 ,只 是 使 用 
global 命令 定义 地 址 池 时 语法 稍 有 不 同 。 

(1) 定义 重 载 到 接口 的 PAT 转换 

在 Cisco PIX 防火 墙 上 ,定义 重 载 到 某 个 接口 的 动态 PAT 转换 操作 为 在 全 局 配置 模 
式 下 输入 : 


global 《接口 名 ) 地 址 转换 条 目 序 号 interface 
使 用 该 命令 可 以 将 地 址 重 载 到 参数 “接口 名 ”指定 的 接口 地 址 上 。 
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例如 ,将 内 部 网 络 所 有 地 址 重 载 到 外 部 接口 outside 的 配置 操作 过 程 ,以 及 使 用 show 
xlate 命令 显示 地 址 转换 条 目 输出 的 结果 如 下 。 


fw(config) # nat (inside 1 0 

fw(config) # global (outside) 1 interface 

INFO: outside interface address added to PAT pool 
fw(config) # exit 

fw show xlate 

1 in use, 1 most used 

PAT Global 200.100. 10.254(1024) Local 10. 0. 0. 253(11002) 


(2) 定义 重 载 到 某 个 地 址 的 PAT 转换 
在 Cisco PIX 防火 墙 上 ,定义 重 载 到 某 个 地 址 的 动态 PAT 转换 操作 为 在 全 局 配置 模 
式 下 输入 : 


global 〈 接 口 名 ) 地 址 转换 条 目 序号 ”地 址 


HEB: 在 Cisco PIX 防火 墙 上 一 条 global 命令 只 能 重 载 到 一 个 IP 地 址 ,所 以 要 定义 
重 载 到 多 个 公共 IP 地 址 ,需要 使 用 多 条 地 址 转换 条 目 序 号 相同 的 global 命令 。 

例如 ,将 内 网 所 有 地 址 重 载 到 公共 IP 地 址 200. 100. 10. 8,200. 100. 10. 9 的 配置 过 程 
如 下 。 


fw(config) # nat (inside) 1 0 

fw(config) # global (outside) 1 200.100.10.8 

INFO: Global 200.100.10.8 will be Port Address Translated 
fw(config) # global (outside) 1 200. 100. 10.9 

INFO; Global 200.100.10.9 will be Port Address Translated 
fw(config) # exit 

fw# show xlate 

ll in use, 11 most used 

Global 10.0.0.253 Local 10.0.0.253 

PAT Global 200. 100. 10. 8(10)Local 10. 1. 1. 1 ICMP id 6594 

PAT Global 200. 100. 10. 8(9) Local 10. 1. 1. 1 ICMP id 6593 

PAT Global 200. 100. 10. 8(8) Local 10. 1. 1. 1 ICMP id 6592 

PAT Global 200. 100. 10. 8(7) Local 10. 1. 1. 1 ICMP id 6591 

PAT Global 200. 100. 10. 8(6) Local 10. 1. 1. 1 ICMP id 6590 

PAT Global 200. 100. 10. 8(15)Local 10. 2. 2. 1 ICMP id 8676 

PAT Global 200. 100. 10. 8(14) Local 10. 2. 2. 1 ICMP id 8675 

PAT Global 200. 100. 10. 8(13) Local 10. 2. 2. 1 ICMP id 8674 

PAT Global 200. 100. 10. 8(12) Local 10. 2. 2. 1 ICMP id 8673 

PAT Global 200. 100. 10. 8(11) Local 10. 2. 2. 1 ICMP id 8672 


注意 : 在 Cisco PIX 防火 墙 上 可 以 同时 将 一 段 地 址 映射 到 NAT 和 PAT。 当 地 址 池 
200. 100. 10. 8 一 200. 100. 10. 17 的 地 址 被 用 尽 时 ,可 以 使 用 200. 100. 10. 18 的 PAT 来 补 
充 外 部 地 址 。 

Íw(config) * mat (inside) 1 0 


fw(config) # global (outside) 1 200.100. 10. 8-200. 100. 10.17 netmask 255. 255. 255.0 
INFO: Global 200. 100. 10. 8 will be Port Address Translated 
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fw(config)# global (outside) 1 200.100.10.18 netmask 255.255.255.0 
INFO: Global 200. 100. 10. 9 will be Port Address Translated 


4. 端口 重 定向 配置 

在 Cisco PIX 防火 墙 上 ,配置 端口 重 定 向 地 址 转换 的 操作 为 在 全 局 配置 模式 下 输入 : 

static (接口 名 a, 接口 名 b) (tepl udp) (全 局 地 址 或 映射 地 址 | interface) 全 局 端口 或 映射 端 

口 { 原 卫 地 址 [netmask 子 网 掩 码 ]| access-list ACL 名 } 原 端口 或 被 转换 的 端口 

例如 ,将 内 部 Web 服务 器 10.0. 0. 253: 8080 映射 为 200. 100. 10. 8; 80 的 配置 过 程 
及 检查 操作 如 下 。 

fw(config) # static (inside.outside) tcp 200.100.10.8 www 10.0.0.253 8080 

fw# show xlate 


2 in use, 11 most used 
PAT Global 200. 100. 10. 8(80) Local 10. 0. 0, 253(8080) 


6.3.4 无 状态 访问 控制 配置 
在 Cisco PIX 防火 墙 上 配置 访问 控制 列表 的 操作 与 在 路 由 器 非常 相像 ,如 表 6-4 所 
示 , 但 实际 上 语法 和 配置 模式 还 是 有 所 不 同 。 
表 6-4 Cisco PIX 防火 墙 无 状态 ACL 配置 步骤 


序 号 操 作 相关 命令 是 否 必 要 
access-list 是 
1 X ACL 
om idis icmp permit | deny 根据 工程 实际 需要 配置 
步骤 2 应 用 ACL access-group 是 
步骤 3 检查 ACL 配置 show access-list 可 选 
1. 定义 ACL 


Cisco PIX 防火 墙 使 用 access-list 命令 定义 命名 ACL. 
在 Cisco PIX 防火 墙 上 ,配置 无 状态 标准 ACL 的 操作 为 在 全 局 配置 模式 下 输入 : 


access-list ACL 名 standard { permit | deny} {目的 主机 名 | 目的 网 络 地 址 子 网 掩 码 | any | 
host 目的 主机 地 址 } 


在 Cisco PIX 防火 墙 上 ,配置 无 状态 扩展 ACL 的 操作 为 在 全 局 配置 模式 下 输入 : 
access-list ACL 名 [line 条 目 序 号 ] extended { permit | deny } 协议 号 或 协议 名 {目的 主机 名 | 
目的 网 络 地 址 子 网 掩 码 | any | host 目的 主机 地 址 } { 源 主机 名 | 源 网 络 地 址 子 网 掩 码 | any | 
host 源 主机 地 址 } 

对 于 TCP、UDP 协议 ,配置 无 状态 扩展 ACL 时 ,其 命令 语法 为 


access-list ACL 名 [line 条 目 序 号 Jextended ( permit | deny ) tepludp {目的 主机 名 | 目的 网 络 
地 址 子 网 掩 码 | any | host 目的 主机 地 址 | interface 接口 名 } {运算 符 端口 } { 源 主机 名 | 源 网 
络 地 址 子 网 掩 码 | any | host 源 主 机 地 址 | interface 接口 名 } {运算 符 端口 } 


access-list 命令 使 用 的 大 部 分 参数 含义 与 路 由 器 上 无 状态 ACL 定义 中 的 参数 相同 ， 


ái 
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可 参考 第 2 章 有 关内 容 。 
Cisco PIX 防火 墙 对 ACL 的 处 理 规则 与 路 由 器 相同 ,ACL 条 目的 顺序 非常 重要 , 因 
此 如 果 需 要 在 已 有 ACL 中 插入 访问 控制 条 目 , 可 以 使 用 关键 字 line 和 参数 “条 目 序号 ” 指 


定 访问 控制 条 目的 插入 位 置 。 注 意 ,只 有 扩展 ACL 才 支 持 该 功能 。 


2. 应 用 ACL 
在 Cisco PIX 防火 墙 的 全 局 配置 模式 下 配置 应 用 ACL。 应 用 ACL 的 命令 语法 如 下 。 


access-group ACL 名 (in | out } interface 接口 名 


注意 : 防火 墙 默 认 禁 止 从 低 安全 级 别 接 口 到 高 安全 级 别 接口 的 流量 ,所 以 为 保证 内 
外 网 能 够 通信 ,必须 配置 允许 从 低 安全 级 别 接口 到 高 安全 级 别 接口 的 返回 流量 。 另 外 ， 
Cisco PIX 防火 墙 默认 不 允许 任何 ICMP 报 文通 过 ,所 以 要 使 用 ping 测试 网 络 连 通 性 , 必 
须 进行 相应 配置 允许 合法 的 ICMP 报 文 能 够 通过 防火 墙 。 

3. 防火 墙 对 ICMP 流量 的 访问 控制 

防火 墙 默认 不 允许 低 安 全 级 别 接口 ICMP 流量 入 站 访问 高 安全 级 别 接口 ,所 以 如 
图 6-2 所 示 ,如 果 eo 接口 为 低 安全 级 别 接口 ,el 接口 为 高 安全 级 别 接口 , 则 只 有 正确 配置 
了 地 址 转换 和 允许 eo 的 入 站 ICMP 流量 后 ,网 络 1 才能 ping 通 网 络 2 。 

另外 ,Cisco PIX 防火 墙 被 设计 为 永远 禁止 “ 远 端 接 口 ” 的 ICMP 流量 ,但 默认 允许 * 近 
端 接口 ?的 ICMP 流量 。 如 图 6-2 所 示 ,防火 墙 el. eo 接口 分 别 为 网 络 1,2 近 端 接口 ,所 
以 网 络 1 主机 能 够 ping 通 接口 el ,网 络 2 主机 能 够 ping 通 接口 e0。 但 网 络 1 主机 永远 
不 能 ping 通 防火 墙 e0 接口 ,网络 2 主机 也 不 能 ping 通 防火 墙 el 接口 。 


图 6-2 防火 墙 接口 ICMP 访问 示意 图 


如 果 希 望 防火 墙 近 端 接口 也 不 响应 ICMP 流量 , 即 让 网 络 上 主机 无 法 通过 ping 发 现 
防火 墙 , 则 可 以 使 用 ICMP 命令 禁止 对 近 端 接口 的 ICMP 访问 。 在 全 局 配置 模式 下 输入 ;: 


icmp deny { 主机 名 | 网 络 地 址 子 网 掩 码 | any | host 主机 地 址 )[ICMP 报 文 类 型 或 序号 ] 接 口 名 
例如 ,可 以 输入 如 下 命令 禁止 图 6-2 中 防火 墙 接口 el 发 出 或 响应 ICMP 报 文 。 


fw(config) # icmp deny any outside 


6.4 VPN 配置 


如 前 所 述 , 由 于 实现 VPN 技术 需要 对 等 体 网 络 设备 进行 大 量 加 密 、 验 证 运算 处 理 ， 
而 这 些 处 理 又 非常 消耗 系统 资源 ,所 以 从 保证 网 络 性 能 角度 出 发 ,防火 墙 或 硬件 VPN 设 
备 都 比 路 由 器 更 适 于 承担 VPN 对 等 体 的 角色 。 


6.4.1 


站 到 站 VPN BOE 
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在 Cisco PIX 防火 墙 上 ,配置 站 到 站 IPSec VPN 的 步骤 如 表 6-5 所 示 , 其 步骤 与 
Cisco IOS 路 由 器 基本 相同 ,只 是 命令 语法 稍 有 不 同 。 


表 6-5 É Cisco PIX 防火 墙 上 进行 站 到 站 IPSec VPN 配置 的 步骤 


序 号 操 作 相关 命令 必 要 

步骤 1 | 定义 ISAKMP 策略 Cerypto Jisakmp policy 是 

步骤 2 | 定义 ISAKMP 预 共享 密 钥 Lerypto Jisakmp key 使 用 预 共享 密 钥 时 必要 
步骤 3 | 在 接口 上 启用 ISAKMP isakmp enable outside 是 

JURA | 定义 变换 集 Cerypto Jipsec transform-set 是 

步骤 5 | 定义 保护 的 流量 access-list 是 

步骤 6 | 创建 加 密 图 crypto map 是 

步骤 7 | 应 用 加 密 图 crypto map...interface 是 

m 检查 VPN 配置 show crypto isakmp sa DES 


(1) 定义 ISAKMP 策略 
在 Cisco PIX 防火 墙 8. 2 版 本 系统 中 ,定义 ISAKMP 策略 的 操作 与 在 路 由 器 的 配置 
基本 相同 , 仅 个 别 参数 不 同 。 在 全 局 配置 模式 下 ,输入 以 下 命令 会 进入 ISAKMP 策略 配 


置 模式 。 


show crypto ipsec sa 


[erypto] isakmp policy ISAKMP 策略 优先 级 


在 防火 墙 上 ,crypto 可 省 ,可 以 直接 输入 isakmp policy 定义 ISAKMP 策略 。 参 数 
"ISAKMP 策略 优先 级 "与 路 由 器 中 含义 相同 , 取 值 范围 是 1 一 65535 。 

进入 ISAKMP 策略 配置 模式 后 ,同样 可 以 输入 以 下 子 命令 分 别 定义 D-H 组 、 认 证 模 
式 . 加 密 算法 A BLK ISAKMP SA 生存 时 间 。 


group1121517 
authentication pre-share | rsa-sig 


encryption ( 3des | aes | aes-192 | aes-256 | des } 
hash { mds | sha } 
lifetime ISAKMP SA 生存 时 间 


注意 : 如 果 参 数 “ISAKMP SA 生存 时 间 ” 配 置 为 none, 则 表示 不 对 生存 时 间 进 行 限 
制 。 在 Cisco PIX 525 防火 墙 上 ,该 生存 时 间 范 围 是 120~2147483647 秒 。 


(2) 在 外 部 端口 上 启用 ISAKMP 


在 Cisco PIX 防火 墙 8. 2 版 本 系统 中 ,需要 指定 在 哪个 端口 允许 ISAKMP 协议 流量 
通过 ,具体 配置 操作 为 在 全 局 配置 模式 下 输入 : 


isakmp enable 接口 名 


一 般 由 外 部 接口 outside 监听 ISAKMP 流量 .所 以 可 以 进行 如 下 操作 。 


es 
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fw(config) # isakmp enable outside 


(3) 定义 ISAKMP 预 共 享 密 钥 
在 Cisco PIX 防火 墙 上 ,定义 对 等 体 认证 预 共享 密 钥 的 操作 与 在 Cisco IOS 路 由 器 上 
的 操作 相同 , 即 在 全 局 配置 模式 下 输入 : 


crypto isakmp key 预 共享 密 钥 [address 远 端 对 等 体 IP 地 址 远 端 对 等 体 子 网 掩 码 | hostname 远 
端 对 等 体 主机 名 ] 


(4) 定义 变换 集 

在 Cisco PIX 防火 墙 上 ,定义 变换 集 的 操作 为 在 全 局 配置 模式 下 输入 : 

crypto ipsec transform-set 变换 集 名 加 密 或 认证 算法 [.…] 

而 定义 VPN 以 传输 模式 工作 的 操作 是 在 全 局 配置 模式 下 输入 : 

crypto ipsec transform-set ”变换 集 名 mode transport 

(5) 定义 保护 的 流量 

在 Cisco PIX 防火 墙 上 使 用 ACL 定义 VPN 保护 的 流量 时 ,与 路 由 器 上 相似 。 

。 VPN 保护 ACL 中 permit 允许 的 流量 。 

。 防火 墙 会 丢弃 本 应 受 VPN 保护 却 没 有 被 保护 处 理 的 入 站 流量 。 

。 防火 墙 只 接受 ACL 中 permit 允许 流量 的 IPSec SA 请 求 。 

例如 ,要 在 总 部 网 络 200. 100. 8.0/22 与 分 支 机 构 A-1 网 络 200. 100. 12. 0/24 [i] t vy. 
VPN 连接 , 则 ACL 可 如 下 定义 。 

fwOCconfig) # access-list eacHc2alvpn permit ip 200. 100. 8. 0 255. 255. 252. 0 200. 100. 12.0 255.255.255.0 

(6) 创建 加 密 图 

在 Cisco PIX 防火 墙 上 ,需要 使 用 多 条 命令 分 别 配置 加 密 图 中 的 远 端 对 等 体 地 址 、 受 
保护 的 流量 、 变 换 集 等 ,其 操作 为 在 全 局 配置 模式 下 输入 : 


crypto map 加 密 图 名 加 密 图 条 目 序号 match address ACL 名 或 序号 
crypto map 加 密 图 名 加 密 图 条 目 序号 set peer 远 端 对 等 体 的 主机 名 或 IP 地 址 
crypto map 加 密 图 名 加 密 图 条 目 序号 set transform-set 变换 集 名 


(7) 应 用 加 密 图 
在 Cisco PIX 防火 墙 上 ,应 用 加 密 图 不 需要 进入 接口 配置 模式 ,而 是 在 全 局 配置 模式 
下 输入 : 


crypto map 加 密 图 名 interface 接口 名 
例如 ,在 接口 outside 上 应 用 加 密 图 map-c2alvpn 的 操作 如 下 。 
fw(config) € crypto map map-c2al vpn interface outside 


6.4.2 远程 访问 VPN 配置 
在 Cisco PIX 防火 墙 上 配置 远程 访问 VPN 的 操作 步骤 如 表 6-6 所 示 ,与 站 到 站 VPN 
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配置 相 比 ,主要 有 两 处 不 同 : 增加 了 组 策略 和 动态 加 密 图 的 定义 ; 在 组 策略 中 定义 对 等 
体 间 认 证 所 需 预 共享 密 钥 。 
表 6-6 Cisco PIX 远程 访问 VPN 配置 步骤 


序 号 操 d 相关 命令 必要 
步骤 1 | 定义 ISAKMP 策略 [erypto Jisakmp policy 是 
步骤 2 | 在 接口 上 启用 ISAKMP isakmp enable outside 是 
步骤 3 | 配置 组 策略 参数 tunnel-group 是 
步骤 4 | 定义 变换 集 Cerypto]ipsec transform-set | 是 
步骤 5 | 创建 动态 加 密 图 crypto dynamic-map 是 
步骤 6 | 创建 静态 加 密 图 ,并 将 动态 加 密 图 加 入 到 静态 加 密 图 中 | crypto map 是 
步骤 7 | 应 用 加 密 图 crypto map... interface 是 
步骤 8 | 检查 VPN 配置 show crypto isakmp sa 可 选 
show crypto ipsec sa 


以 上 步骤 中 ,与 站 到 站 VPN BET SD BS} ASE EGE. BS f EA ORARE S 

COD 配置 组 策略 参数 

在 Cisco PIX 防火 墙 上 配置 组 策略 时 ,需要 定义 3 个 基本 参数 : 组 策略 对 应 的 VPN 
类 型 、. 预 共享 密 钥 、, 本 地 地 址 池 。 

定义 组 策略 VPN 类 型 的 操作 应 在 进行 组 策略 其 他 配置 前 进行 。 在 全 局 配置 模式 
下 ,输入 如 下 命令 将 创建 一 个 指定 类 型 的 组 策略 。 


tunnel-group 组 策略 名 type VPN 类 型 


当 为 远程 访问 VPN 定义 组 策略 时 ,参数 “VPN 类 型 "为 remote-access; 如 果 为 站 到 
站 VPN 定义 组 策略 , 则 需 使 用 ipsec-121。 
对 于 使 用 预 共享 密 钥 方式 的 远程 访问 VPN ,应 在 其 组 策略 中 定义 预 共享 密 钥 。 在 全 
局 配置 模式 下 输入 如 下 命令 进入 “组 策略 -IPSec 属性 ?配置 模式 ,使 用 pre-shared-key 子 
命令 将 为 该 组 定义 一 个 预 共享 密 钥 。 
tunnel-group 组 策略 名 ipsec-attributes 
pre-shared-key 预 共享 密 钥 
定义 远程 访问 VPN 使 用 哪个 本 地 地 址 池 的 操作 为 ,在 全 局 配置 模式 下 输入 如 下 命 
令 进 入 "组 策略 -一 般 属 性 ?配置 模式 ,然后 使 用 address-pool 子 命令 ,可 以 为 该 组 定义 使 
用 的 地 址 池 。 
tunnel-group 组 策略 名 general-attributes 
address-pool 地 址 池 名 
(2) 创建 动态 加 密 图 
在 Cisco PIX 防火 墙 上 也 需 创 建 动态 加 密 图 ,并 在 动态 加 密 图 中 配置 变换 集 和 反 向 
路 由 。 其 配置 操作 为 在 全 局 配置 模式 下 输入 : 


crypto dynamic-map 动态 加 密 图 名 动态 加 密 图 条 目 号 set transform-set 变换 集 名 
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crypto dynamic-map 动态 加 密 图 名 动态 加 密 图 条 目 号 set reverse-route 

(3) 创建 静态 加 密 图 并 将 动态 加 密 图 加 入 到 静态 加 密 图 中 

在 Cisco PIX 防火 墙 上 ,创建 静态 加 密 图 并 将 动态 加 密 图 加 入 到 静态 加 密 图 中 ,操作 
为 在 全 局 配置 模式 下 输入 : 

crypto map 加 密 图 名 加 密 图 条 目 号 ipsec-isakmp dynamic 动态 加 密 图 名 

(4) 应 用 加 密 图 

在 Cisco PIX 防火 墙 上 ,应 用 加 密 图 的 操作 为 在 全 局 配置 模式 下 输入 : 

crypto map 加 密 图 名 interface 接口 名 


例如 ,为 一 个 防火 墙 配置 远程 访问 VPN。 该 防火 墙 内 网 地 址 为 10. 0. 0. 0/24, 定 义 
本 地 地 址 池 10. 0. 0. 200 一 10. 0. 0. 250, 创 建 登录 用 户 rvpn, 口 令 为 123 等 。 其 配置 如 下 。 


!ISAKMP 策略 

isakmp policy 1 

authentication pre-share 

hash sha 

group 2 

encryption 3des 

isakmp enable outside 

! 地 址 池 

ip local pool pool-rvpn 10. 0. 0. 200-10. 0. 0. 250 mask 255. 255. 255. 0 
! 本 地 认证 账号 

username rvpn password 123 

! 变 换 集 

crypto ipsec transform-set ts-rvpn esp-3des esp-md5-hmac 

! 组 策略 

tunnel-group tg-rvpn type remote-access 

tunnel-group tg-rvpn general-attributes 

address-pool pool-rvpn 
tunnel-group tg-rvpn ipsec-attributes 
pre-shared-key 123 

! 动 态 加 密 图 

crypto dynamic-map dmap-rvpn 1 set transform-set ts-rvpn 
crypto dynamic-map dmap-rvpn 1 set reverse-route 

! 静 态 加 密 图 
crypto map map-rvpn 10 ipsec-isakmp dynamic dmap-rvpn 
! 应 用 静态 加 密 图 
crypto map map-rvpn interface outside 


6.5 模拟 公司 总 部 边界 防火 墙 配置 方案 


根据 6. 1 节 安 全 配置 任务 ,可 参考 以 下 方案 配置 模拟 公司 总 部 防火 墙 ,以 保障 网 络 通 
nd. 
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CD 网 络 连通 性 配置 。 如 图 6-3 所 示 ,模拟 公司 总 部 防火 墙 外 部 接口 outside. fi H] IP 
地 址 为 200. 100. 8. 126/30; 内 部 接口 inside, 使 用 IP 地 址 为 200. 100. 8. 121/30。 防 火 墙 
通过 一 个 边界 路 由 器 连接 到 Internet, 该 路 由 器 内 网 接口 使 用 IP 地 址 为 200. 100. 8. 125. 
连接 Internet 接口 使 用 IP 地 址 为 200. 100. 15. 197。 


pa === 
防火 增 E : 200.100.8.125/30 
7 | inside: 200.100.8.121/30 


边界 路 由 器 


核心 交换 机 


图 6-3 总 部 边界 网 络 连通 性 


(2) 配置 访问 控制 , 仅 允许 外 部 网 络 访问 内 部 Web 服务 器 200. 100. 8. 27/27 ,邮件 服 
务 器 200. 100. 8. 28/27。 

(3) 根据 防火 墙 默认 访问 规则 ,从 防火 墙 外 网 到 内 网 主动 TCP 连接 是 被 默认 禁止 
的 ,但 从 内 网 到 外 网 的 连接 默认 是 不 受 限 制 的 ,所 以 使 用 防火 墙 默认 模式 即 可 满足 要 求 。 

(4) 配置 预 共享 密 钥 的 站 到 站 VPN, 以 防火 墙 outside 接口 作为 VPN 对 等 体 的 本 地 地 
址 ,保障 模拟 公司 总 部 与 分 支 机 构 网 络 间 通 信 , 相 应 的 VPN 配置 要 求 可 参考 表 6-7。 

(5) 配置 远程 访问 VPN ,保障 网 管 员 能 远程 访问 模拟 公司 总 部 网 络 内 的 网 络 设备 。 
防火 墙 作为 VPN 服务 器 ,其 组 策略 配置 内 容 如 表 6-7 所 示 。 


表 6-7 远程 访问 VPN 组 策略 配置 


组 策略 名 tg-rvpn 
组 策略 类 型 remote-access 
组 策略 地 址 池 名 及 范围 pool-rvpn: 200. 100. 8. 33 一 200. 100. 8. 40 
组 策略 中 预 共享 密 钥 每 月 随机 生成 更 换 
6.6 小 结 


相对 于 路 由 器 ,硬件 防火 墙 使 用 专门 的 硬件 进行 网 络 安全 通信 处 理 , 因 此 常 被 用 于 网 
络 边界 完成 网 络 安全 保障 功能 ; 要 实现 Cisco PIX 防火 墙 网 络 连通 性 ,必须 配置 网 络 接 


< 


Pi 
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口 、 路 由 、 地 址 转换 、ACL。Cisco PIX 防火 墙 与 路 由 器 在 站 到 站 VPN 配置 操作 方面 的 主 
要 不 同 有 : 需要 在 接口 上 启用 ISAKMP 需 在 全 局 配置 模式 下 应 用 加 密 图 。Cisco PIX Bj 
火 墙 与 路 由 器 在 远程 访问 VPN 配置 方面 的 主要 不 同 有 : 需要 在 接口 上 启用 ISAKMP, 
组 策略 的 配置 又 分 为 general-attributes \ipsec-attributes 若干 子 项 内 容 。 


6.7 习题 
1. 判断 题 : 防火 墙 设备 与 路 由 器 设备 的 区 别 在 于 ,路 由 器 设备 上 使 用 了 专用 硬件 实 
现 网 络 间 访 问 控制 。 
2. 列举 常见 的 3 种 防火 墙 类 型 及 特点 。 
3. 判断 题 : 代理 防火 墙 的 优点 是 只 根据 报头 信息 过 滤 报 文 , 因 此 占用 较 少 资源 。 
4. 根据 Cisco PIX 防火 墙 默认 安全 规则 ,下 列 哪些 说 法 是 正确 的 ? C ) 
A. 为 满足 从 内 网 对 外 提供 公共 网 络 服务 的 需求 , 需 配 置 允许 从 outside 接口 入 站 的 
某 些 流量 
B. 防火 墙 与 路 由 器 一 样 ,只 需 为 防火 墙 配置 接口 地 址 ,并 启用 接口 ,就 能 实现 内 外 网 
C. 要 能 ping 通 防火 墙 的 远 端 接口 ,需要 使 用 icmp permit any outside 命令 
D. 从 防火 墙 inside 接口 所 连 网 络 到 outside 接口 所 连 网 络 的 流量 ,默认 是 被 允许 的 
E. 默认 防火 墙 dmz 接口 与 outside 接口 的 安全 级 都 为 0, 则 不 需 配 置 任何 访问 控制 ， 
从 outside 接口 入 站 的 流量 就 能 被 送 到 dmz 接口 
6.8 ill 
6.8.1 防火 墙 网 络 连通 性 及 访问 控制 配置 
1. 实 训 组 织 


实 训 学 时 : 100 分 钟 。 

学 生 分 组 : 2 人 /组 。 

2. 实 训 目 的 

通过 实 训 , 熟 练 掌握 防火 墙 网 络 连 通 性 及 访问 控制 配置 操作 。 
3. 实 训 环 境 

(1) 安装 有 Windows 系统 、 网 络 服务 软件 (例如 XAMPP) 的 PC, 每 组 3 A. 
(2) Cisco PIX 防火 墙 ,每 组 1 台 。 

(3) Cisco 路 由 器 ,每 组 1 台 。 

(4) UTP 交叉 电缆 ,每 组 4 条 。 

(5) Console 电缆 ,每 组 1 条 。 

注意 保持 防火 墙 为 出 厂 配置 。 
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4. SUAS 
按照 图 6-4 所 示 连 接 网 络 设备 ,搭建 实 训 环境 。 该 网 络 拓扑 为 模拟 公司 总 部 网 络 简 
化 而 成 ,省 略 了 部 分 与 实 训 内 容 无 关 的 网 络 设备 。 


1 

g o 边界 路 由 器 | 

PIA outside 1 

4 Fa0/1 Fa0/0 | 
! PCe 

1 

1 

I 

1 

PCb : 

模拟 公司 总 部 1 


6-4 防火墙 网 络 连通 及 访问 控制 配置 实 训 拓扑 


5. 实 训 内 容 

(1) 防火 墙 接 口 配置 。 

(2) 防火 墙 路 由 配置 。 

(3) 防火 墙 地 址 转换 配置 。 
(4) 防火 墙 访问 控制 配置 。 


6. 实 训 指导 

(1) 防火 墙 接口 配置 

按照 表 6-8 所 示 , 为 实 训 网 络 中 各 接口 配置 IP 地 址 。 其 中 防火 墙 上 的 配置 操作 
如 下 。 


表 6-8 ”防火墙 网 络 连通 实 训 地 址 分 配 


Ro IP 地址 /网 络 前 缀 网 关 
PCa( 模 拟 内 网 主机 ) 200. 100. 8. 122/30 200. 100. 8. 121/30 
PCb( 模 拟 Web 服务 器 ) 200. 100. 8. 28/27 200. 100. 8. 30/27 
PCc( 模 拟 外 网 主机 ) 200. 100. 15. 198/30 200. 100. 8. 121/30 
防火 墙 e0 接口 (outside) 200. 100. 8. 126/30 
Bi AHH el 接口 (dmz) 200. 100. 8. 30/27 
防火 墙 ed 接口 (inside) 200. 100. 8. 121/30 
路 由 器 Fa0/0 200. 100. 8. 125/30 
路 由 器 Fa0/1 200. 100. 15. 197/30 


pixfirewall(config) + configure terminal 

zbfw(config) # hostname zbfw 

zbfw(config) & int erface e0 

zbfw(config-if) # nameif outside 

zbfw(config-if) #ip address 200.100.8.126 255, 255. 255.252 


N 
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zbfw(config-if) # no shutdown 

zbfw(config-if) £ interface el 

zbfw(config-if) # nameif dmz 

zbfw(config-if) #ip address 200.100.8.30 255.255.255.224 
zbfw(config-if) € no shutdown 

zbfw(config-if) # interface e4 

zbfw(config-if) + nameif inside 

zbfw(config-if) ip address 200. 100.8. 121 255, 255, 255. 252 
zbfw(config-if) € no shutdown 

zbfw(config-if) € exit 


(2) 防火 墙 路 由 配置 
在 防火 墙 上 配置 OSPF 路 由 协议 ,发 布 网 络 路 由 ,其 操作 可 如 下 进行 。 


zbfw(config) # router ospf 1 
zbfw(config-router) f network 200.100.8.0 255.255.255.128 area 0 
zbfw(config-router) # exit 


在 防火 墙 上 配置 静态 默认 路 由 ,默认 网 关 为 边界 路 由 Fa0/0 接口 。 
zbíw(config) + route outside 0.0.0.0 0.0.0.0 200.100.8.125 

(3) 防火 墙 地 址 转换 配置 

在 防火 墙 上 配置 不 进行 地 址 转换 ,因为 内 网 并 未 使 用 私有 地 址 。 


zbfw(config) & nat (inside) 0 0 0 
zbfw(config) # nat (inside © 200.100.8.0 255.255.255.128 


EB: 以 上 两 条 命令 中 的 第 1 个 0, 意味 着 将 不 对 后 面 定 义 的 地 址 进行 转换 。 第 1 条 


命令 中 的 第 2 个 0, 表 示 对 所 有 本 地 网 络 ( 防 火 墙 接口 所 在 网 络 ) 不 做 地 址 转换 ,第 3 个 0 
3 Te, 


(4) 防火 墙 访问 控制 配置 
在 防火 墙 上 配置 允许 外 部 网 络 访问 内 部 网 络 的 Web 服务 器 200. 100. 8. 27 ,并 能 使 


用 ping 测试 网 络 连通 性 ,其 配置 操作 如 下 。 


zbfw(config) # access-list out2in extended permit icmp any any 
zbfw(config) # access-list out2in extended permit any host 200.100.8.27 eq 80 
zbfw(config) # access-group out2in in interface outside 


配置 完成 后 ,测试 是 否 从 PCc 访问 PCb 上 的 Web 服务 。 
7. KIRE 


1. 简 述 Cisco PIX 防火 墙 上 配置 网 络 连通 性 必需 的 步骤 。 
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续 表 


2. 记录 在 防火 墙 上 为 接口 配置 IP, 但 未 配置 接口 名 时 ,使 用 show interface ip brief 命令 查看 到 的 
结果 。 


3. 在 防火 墙 上 查看 路 由 的 命令 为 : 
记录 防火 墙 上 的 路 由 。 


4. 在 不 配置 地 址 转换 的 情况 下 ,配置 访问 控制 允许 ICMP 流量 。 
从 PCa ping PCe: if 不 通 
从 PCb ping PCc: 通 不 通 
从 PCc ping PCa: if 不 通 


5. 在 配置 了 允许 ICMP 流量 的 访问 控制 和 nat(inside)0 的 情况 下 : 
从 PCa ping PCc: 通 口 不 通 
从 PCb ping PCc: HO 不 通 
从 PCc ping PCa: 通 不 通 口 


6. 按 内 网 使 用 私有 地 址 10. 0. 0. 0/24 配置 防火 墙 。 写 出 各 接口 IP。 


ko a IP jt ht / Fo n n 网 X 


PCa( 模 拟 内 网 主机 ) 


PCb( 模 拟 Web 服务 器 ) 


防火 墙 el 接口 (dmz) 


防火 墙 e4 接口 (inside) 


7. 如 果 防 火 墙 内 网 使 用 私 网 地 址 10. 0. 0. 0/24, 则 配置 PAT 将 其 私 网 地 址 转换 为 公 网 地 址 
200. 100. 8. 116~200. 100. 8. 119 的 命令 如 下 。 

nat( » 1 

global( ) interface outside 


6.8.2 防火 墙 预 共 享 密 钥 站 到 站 VPN 配置 
1. 实 训 组 织 
实 训 学 时 : 200 分 钟 。 
学 生 分 组 : 2 人 /组 。 


2. 实 训 目 的 
通过 实 训 , 熟 练 掌握 防火 墙 与 路 由 器 间 预 共享 密 钥 站 到 站 VPN 的 配置 操作 。 


3. 实 训 环境 

CD 安装 有 Windows 系统 、 网 络 服务 软件 (例如 XAMPP) 的 PC, 每 组 3 台 。 
(2) Cisco PIX 防火 墙 ,每 组 1 台 。 

(3) Cisco 路 由 器 ,每 组 1 A. 
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PA (4) UTP 交叉 电费 ,每 组 4 条 。 
(5) Console 电缆 ,每 组 1 条 。 
注意 保持 所 有 的 网 络 设备 为 出 厂 配置 。 
4. 实 训 准备 
按照 图 6-5 所 示 模 拟 公司 总 部 局 域 网 简化 拓扑 示意 图 搭建 实 训 环 境 。 


图 6-5 预 共享 密 钥 站 到 站 VPN 配置 实 训 拓扑 


5. LUA 

本 实 训 在 模拟 公司 总 部 的 行政 管理 网 络 200. 100. 8. 128/25 与 分 支 机 构 A-1 网 络 
200. 100. 14. 0/24 间 搭 建 VPN 安全 隧道 。 本 实 训 任 务 内 容 如 下 。 

(1) 防火 墙 网 络 连 通 性 的 配置 。 

(2) 路 由 器 预 共享 密 钥 站 到 站 VPN 配置 。 

(3) 防火 墙 预 共享 密 钥 站 到 站 VPN 配置 。 

6. 实 训 指 导 

(1) 网 络 连通 性 配置 

参照 6. 8. 1 小 节 配 置 防火 墙 网 络 连通 性 ,完成 整个 实 训 网 络 的 网 络 连通 性 配置 。 该 
网 络 中 IP 地 址 分 配 如 表 6-9 所 示 。 

表 6-9 防火墙 VPN 实 训 地 址 分 配 


接 a 全 地 址 /网 络 前 级 网 关 
PCa( 模 拟 内 网 主机 ) 200. 100. 8. 129/25 200. 100. 8. 254/30 
PCb( 模 拟 Web 服务 器 ) 200. 100. 8. 28/27 200. 100. 8. 30/27 
PCc( 模 拟 外 网 主机 ) 200. 100. 14. 254/24 200. 100. 14. 1/24 
防火 墙 e0 接口 (outside) 200. 100. 8. 126/30 
防火 墙 el 接口 (dmz) 200. 100. 8. 30/27 
防火 墙 ed 接口 (inside) 200. 100. 8. 254/30 
总 部 路 由 器 Fa0/0 200. 100. 15. 197/30 
总 部 路 由 器 Fa0/1 200. 100. 8. 125/30 
分 支 路 由 器 F0/0 200. 100. 14. 1/24 
分 支 路 由 器 FO/1 200. 100. 15. 198/30 


第 6 章 防火 墙 


(2) 路 由 器 预 共享 密 钥 站 到 站 VPN 配置 
参考 第 5 章 路 由 器 上 预 共享 密 钥 站 到 站 VPN 配置 方法 配置 分 支 机 构 路 由 器 。 参 考 
操作 如 下 。 


al(config) # crypto isakmp policy 1 

al(config-isakmp) + authentication pre-share 

al(config-isakmp) € hash sha 

al(config-isakmp) # group 2 

al(config-isakmp) # encryption 3des 

al(config-isakmp) # exit 

al(config) f crypto isakmp key 123 address 200. 100.8. 126 
al(config) # crypto ipsec transform-set ts-rvpn esp-3des esp-md5-hmac 
al(cfg-crypto-trans) # — exit 

al(config) # ip access-list extended eacl-vpn 

al(config-ext-nacl) # permit ip 200.100.14.0 0.0.0.255 200. 100.8.128 0.0.0.127 
al(config-ext-nacl) # exit 

al(config) # crypto map map-vpn 1 ipsec-isakmp 
al(config-crypto-map) # set peer 200. 100.8. 126 

al(config-crypto-map) # set transform-set ts-rvpn 
al(config-crypto-map) # match address eacl-vpn 

al(config-crypto-map) # exit 

al(config) # interface [0/0 

al(config-if) # crypto map map-vpn 

al(config-if) # exit 


(3) 防火 墙 预 共享 密 钥 站 到 站 VPN 配置 

注意 : 为 能 使 防火 墙 与 路 由 器 间 使 用 ISAKMP 进行 协商 ,使 用 ESP 报 文 传输 通信 数 
据 , 需 在 防火 墙 上 配置 ACL, 使 来 自分 支 机 构 的 ISAKMP、ESP 流量 不 被 过 滤 掉 ,此 类 流 
量 在 路 由 器 上 也 应 被 放行 。 


zbfw(config) # access-list out2in extended permit udp host 200. 100. 15. 198 host 
200.100.15.197 eq 500 

zbfw(config) # access-list out2in extended permit udp host 200.100.15.198 eq 500 
host 200. 100. 15. 197 

zbfw(config) # access-list out2in extended permit esp host 200. 100. 15. 198 host 
200. 100. 15. 197 

zbfw(config)  isakmp policy 1 

zbfw(config-isakmp-policy) # authentication pre-share 

zbfw(config-isakmp-policy) # hash sha 

zbfw(config-isakmp-policy) # group 2 

zbfw(config-isakmp-policy) # encryption 3des 

zbfw(config-isakmp-policy) # exit 

zbfw(config) # isakmp enable outside 

zbfw(config) # isakmp key 123 address 200.100.15.198 netmask 255.255. 255. 252 
zbfw(config) # crypto ipsec transform-set ts-rvpn esp-3des esp-md5-hmac 
zbfw(config) # access-list eacl-vpn extend permit ip 200. 100.8.128 255.255. 255. 128 
200.100. 14.0 255.255. 255.0 

zbfw(config) # crypto map map-vpn 1 ipsec-isakmp 
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zbfw(config) # crypto map map-vpn 1 set peer 200.100.15.198 

zbfw(config) # crypto map map-vpn 1 match address eacl-vpn 

zbfw(config) # crypto map map-vpn 1 set transform-set ts-rvpn 

zbfw(config) # crypto map  map-vpn interface outside 

(4) 检查 网 络 连通 性 和 VPN 安全 隧道 

配置 完成 后 ,在 PCa 上 ping PCc, 并 用 show 命令 在 防火 墙 上 检查 VPN 安全 隧道 能 
否 建立 起 来 。 

7. 实 训 报告 


.记录 在 分 支 机 构 路 由 器 上 的 网 络 连通 性 配置 命令 。 


2. 记录 在 防火 墙 上 的 网 络 连通 性 配置 命令 。 


w 


.在 配置 VPN 前 ,从 PCa 上 ping PCc: HO 不 通 口 
在 配置 VPN 后 ,从 PCa 上 ping PCc: 通 口 不 通 口 


4. 记录 配置 VPN 并 从 PCa 上 ping PCc 后 ,在 防火 墙 上 使 用 show crypto isakmp sa 命令 的 输出 
结果 。 


5. 记录 配置 VPN 并 从 PCa 上 ping PCc 后 ,在 防火 墙 上 使 用 show crypto ipsec sa 命令 的 输出 结果 。 
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本 章 任务 : 根据 工程 任务 安全 需求 分 析 , 解 决 计算 机 网 络 管理 问题 。 
必 备 知识 : (1) 网 络 管理 体系 架构 。 


(2) SNMP 协议 。 

(3) 网 络 配 置 管理 。 
(4) 网 络 故 障 管理 。 
(5) 网 络 安 全 管理 。 
(6) 网 络 性 能 管理 。 
(7) 网 络 计 费 管理 。 


学 习 目 标 : 完成 模拟 公司 总 部 局 域 网 的 网 络 管理 任务 。 


7.1 模拟 公司 网 络 管理 任务 分 析 


由 于 模拟 公司 大 部 分 生产 .办公 系统 依赖 于 公司 的 计算 机 网 络 , 因 此 对 网 络 进行 有 效 
管理 ,保障 网 络 安 全 、 可 靠 、 高 效 运行 非常 重要 。 模 拟 公司 网 络 管理 任务 主要 包括 以 下 


内 容 。 

(1) 在 相 
交换 机 、 接 入 
分 等 。 

(2) 在 相 


关 网 络 管理 软件 协助 下 ,及 时 了 解 网 络 拓扑 变化 ,包括 网 络 内 路 由 器 、 三 层 
层 交换 机 之 间 , 与 其 他 设备 之 间 的 物理 连接 关系 ,局 域 网 划分 VLAN Xil 


关 网 络 管理 软件 协助 下 ,及 时 检测 广域网 线路 各 条 线路 的 流量 ,统计 过 去 任 


何 一 段 时 间 , 任 何 一 条 线路 的 输入 /输出 、 总 流量 以 及 丢 包 率 、 错 包 率 ; 以 实时 更 新 的 流量 
统计 方式 对 网 络 流量 状况 进行 监测 ; 能 统计 各 线路 丢 包 率 、 错 包 率 ,为 线路 性 能 的 分 析 提 


供 科学 依据 。 
(3) 在 相 


关 网 络 管理 软件 协助 下 ,及 时 发 现 网 络 故障 发 生 点 。 记 录 网 络 设备 、 线 路、 


终端 .病毒 ,非法 入网、 违规 操作 、 相 关 告警 设置 等 各 种 严重 和 一 般 告警 信息 。 


(4) 在 相 


关 网 络 管理 软件 协助 下 ,进行 设备 的 配置 管理 。 


(5) 在 相 


关 网 络 管理 软件 协助 下 ,进行 日 志 管 理 , 分 门 别 类 记录 网 络 的 各 种 故障 ; 对 


网 络 的 各 类 运行 情况 进行 统计 ,掌握 网 络 动态 。 
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(6) 在 相关 网 络 管理 软件 协助 下 ,进行 安全 管理 ,例如 对 使 用 Internet 线路 的 网 络 连 
接 使 用 加 密 技 术 进行 保护 ,定期 对 网 络 进行 安全 审计 等 。 


7.2 网 络 管理 技术 概述 


7.2.1 网 络 管理 模型 

网 络 管理 内 容 繁 杂 ,涉及 计算 机 网 络 的 各 个 方面 ,因此 针对 网 络 管理 定义 的 参考 模 
型 .技术 等 为 数 众多 。 其 中 最 为 知名 的 是 ISO 的 FCAPS 
模型 ,如 图 7-1 所 示 , 它 将 网 络 管理 分 为 故障 管理 (Fault 
Management) ,配置 管理 (Configuration Management)、 记 账 
管理 (Accounting Management)、 性 能 管理 (Performance 
Management)、 安 全 管理 (Security Management) 5 个 
方面 。 

(1) 故障 管理 

故障 管理 对 网 络 中 故障 进行 检测 、 隔 离 .报告 和 修复 。 
故障 管理 的 目标 是 保证 计算 机 网 络 组 件 的 稳定 性 、 可 用 性 。 图 7-1 网 络 管理 体系 结构 
和 可 服务 性 (Reliability、 Availability and Serviceability， 
RAS)。 故 障 管理 包括 以 下 功能 。 
检测 被 管 对 象 的 差错 现象 ,接收 被 管 对 象 的 差错 事件 报告 (也 称 故障 单 ,Trouble 
Ticket). 
执行 诊断 测试 确定 故障 位 置 和 性 质 。 
当 存 在 备用 设备 或 迁 回路 由 时 ,提供 新 的 网 络 资源 用 于 服务 。 
通过 设备 的 维护 或 更 换 等 措施 进行 修复 。 
维护 差错 日 志文 件 ,记录 差错 信息 ,分 析 故 障 原 因 。 

(2) 配置 管理 

网 络 中 每 台 设 备 的 状况 .功能 及 连接 关系 和 工作 参数 等 被 称 为 网 络 配置 ,网 络 配置 反 
映 网 络 的 状态 。 网 络 配置 随 着 网 络 规模 的 变化 .设备 的 更 替 , 需 要 经 常 调整 。 

配置 管理 提供 了 标识 ,收集 .更 改 网 络 配置 数据 的 功能 ,目的 是 为 了 实现 网 络 的 最 优 
化 服务 功能 。 网 络 配置 管理 功能 包括 以 下 内 容 。 
收集 网 络 配置 信息 。 
修改 网 络 配置 信息 。 
安装 软件 。 
存 取 配 置信 息 。 
发 现 和 显示 网 络 的 拓扑 结构 。 
生成 配置 报告 。 

(3) 记 账 管理 

记 账 管理 用 来 度量 网 络 资源 的 使 用 情况 ,目的 是 控制 和 监测 各 类 网 络 服务 的 费用 和 
成 本 。 记 账 管理 对 公共 商业 网 络 尤为 重要 ,如 公用 电信 网 。 记 账 管理 功能 一 般 包 括 以 下 
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内 容 。 

。 记录 用 户 使 用 网 络 资源 的 情况 和 计算 费用 。 

。 统计 网 络 利 用 率 等 效益 数据 ,为 网 络 运营 部 门 提供 制定 资费 政策 的 依据 。 

这 些 管理 工作 的 目的 是 使 网 络 能 正常 高 效 地 运行 ,使 网 络 资源 得 到 更 加 有 效 的 利用 。 
这 些 管理 能 够 有 效 地 维护 网 络 的 正常 运行 , 当 网 络 出 现 故 障 时 能 及 时 报告 和 处 理 , 并 协 
调 、 保 持 网 络 系统 的 高 效 运行 。 

(4) 性 能 管理 

性 能 管理 主要 是 监测 网 络 的 性 能 ,持续 地 评价 网 络 的 性 能 指标 ,验证 网 络 的 服务 水 
平 , 找 出 已 经 发 生 或 潜在 的 问题 ,形成 网 络 性 能 变化 的 趋势 ,为 网 络 管理 提供 决策 依据 ,将 
故障 排除 在 影响 服务 之 前 。 

性 能 管理 的 主要 功能 是 以 网 络 性 能 为 准 ,收集 、 分 析 和 调整 被 管 对 象 的 状态 ,其 目的 
是 保证 网 络 提供 可 靠 .连续 的 服务 。 网 络 性 能 管理 一 般 包括 以 下 内 容 。 

。 从 被 管 对 象 中 收集 、 统 计 与 性 能 有 关 的 数据 ,并 产生 相应 记录 。 

。 分 析 性 能 信息 ,检测 性 能 故障 ,产生 性 能 告警 等 报告 。 

。 预测 性 能 的 长 期 变化 趋势 。 

。 控制 被 管 对 象 ,保证 网 络 的 性 能 指标 。 

(5) 安全 管理 

安全 管理 主要 用 于 保护 网 络 资源 的 安全 ,安全 管理 功能 是 网 络 管理 的 关键 管理 功能 
之 一 ,只 有 建立 了 可 靠 的 安全 管理 措施 ,才能 做 到 有 效 地 保护 国家 企业 和 个 人 的 机 密 , 使 
网 络 能 够 安全 运行 。 

网 络 安全 管理 包括 进 网 安全 防护 ,限制 非法 入 侵 者 入 网 ; 应 用 软件 访问 的 安全 防护 ， 
检查 用 户 访 问 软 件 的 权限 ; 网 络 传输 信息 的 安全 防护 ,对 网 络 传输 信息 的 加 密 、 防 * 窃 
听 ”\ 防 破坏 和 算 改 等 。 

安全 管理 一 般 是 通过 设置 权限 \ 口 令 等 判断 非法 入 侵 者 (越权 操作 )。 当 检测 到 非法 
入 侵 者 后 ,分 别 采取 积极 或 消极 行动 予以 处 理 。 积 极 行动 包括 发 出 告警 信息 ,同时 拒绝 入 
侵 者 的 访问 ; 消极 行动 则 是 收集 有 关 数 据 产 生 报告 , 交 网 管 中 心 的 安全 事务 处 理 进程 分 
析 、 记 录 、 存 档 , 并 根据 情况 给 予 取消 权利 、 发 出 警告 信息 等 处 理 。 

网 络 安全 管理 完成 的 功能 一 般 包括 以 下 内 容 。 

。 安全 措施 信息 的 管理 ,如 用 户口 令 、 密 钥 、 访 问 权限 的 管理 ,并 根据 安全 措施 信息 

判断 非法 操作 ,拒绝 非法 操作 。 

。 安全 审查 ,检查 网 络 各 种 潜在 安全 漏洞 。 

。 安全 报告 ,对 影响 网 络 安全 事件 进行 记录 ,形成 报告 。 

。 网 络 操 作 事件 的 记录 ,记录 用 户 登录 、 退 出 ,记录 涉及 网 络 安全 的 网 络 操作 ,以 便 

进行 安全 追查 等 事后 分 析 。 
7.2.2 网 络 管理 体系 结构 

如 图 7-2 所 示 为 目前 常用 的 一 种 网 络 管理 体系 结构 ,主要 包括 4 部 分 : 网 络 管理 实 
体 、 网 络 管理 协议 、 网 络 管理 代理 、 管 理 信息 库 。 

网 络 管理 实体 即 网 络 管理 系统 进程 , 它 向 运行 在 各 网 络 设备 上 的 网 络 管理 代理 程序 


c 
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(Management Information Base) (Management Information Base) (Management Information Base) 


图 7-2 网 络 管理 体系 结构 


发 出 指令 ,对 各 种 网 络 设备 ,网络 资源 进行 监控 和 控制 。 

网 络 管理 协议 是 网 络 管理 实体 与 网 络 管理 代理 程序 间 进 行 通信 所 遵守 的 规则 和 
约定 。 

管理 信息 库 是 被 管理 对 象 的 信息 集合 。 

网 络 管理 代理 是 驻 留 在 网 络 设备 、 网 络 资源 等 网 络 实体 上 的 ,被 网 络 管理 实体 控制 的 
进程 , 它 接收 网 络 管理 实体 发 来 的 指令 ,从 管理 信息 库 中 读 取 或 修改 被 管理 对 象 的 各 种 配 
置信 息 ,并 能 以 通知 的 形式 向 网 络 管理 实体 报告 被 管理 对 象 上 发 生 的 重要 事件 。 

7.2.3 SNMP 协议 

ISO 的 CMIP/CMIS (Common Management Information Protocol and Common 
Management Information Services ,通用 管理 信息 协议 和 通用 管理 信息 服务 ) 和 TETF 的 
SNMP(Simple Network Management Protocol, 简 单 网 络 管理 协议 ) 是 目前 两 种 主要 的 网 
络 管理 协议 。 其 中 CMIP/CMIS 较为 有 限 地 应 用 在 基于 OSI 的 网 络 中 ; 而 SNMP 则 广 
泛 应 用 在 数据 网 络 ,尤其 是 TCP/IP 网 络 中 。 

SNMP 网 络 管理 协议 的 基本 工作 原理 是 使 管理 者 通过 轮 询 被 管 代理 ,和 被 管 代 理 自 
动 发 给 管理 者 的 陷阱 信息 ,来 设置 一 些 被 管 对 象 的 属性 和 监控 一 些 网 络 事件 的 发 生 , 从 而 
达到 网 络 管理 目的 。SNMP 是 基于 TCP/IP 协议 的 应 用 层 协议 .采用 无 连接 的 传输 层 协 
议 UDP 传送 网 络 管理 报 文 。 采 用 SNMP 协议 的 网 络 管理 系统 ,网 络 管理 实体 之 间 的 通 
信 不 需 建 立 连接 ,对 报 文 能 否 正 确 到 达 不 做 检验 ,从 而 降低 了 系统 开销 。 

SNMP 的 结构 分 为 SNMP 管理 者 (SNMP Manager) 和 SNMP 代理 (SNMP Agent)。 
每 一 个 支持 SNMP 的 网 络 设备 中 包含 一 个 SNMP 代理 . 它 随时 记录 网 络 设备 的 各 种 情 
况 。 网 络 管理 进程 通过 SNMP 协议 查询 或 修改 代理 所 记录 的 信息 。 
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SNMP 的 工作 原理 非常 简单 ,在 SNMP 的 管理 者 (运行 网 络 管理 系统 的 计算 机 ) 和 
SNMP 代理 (被 管 设备 实体) 之 间 实 时 传递 网 络 管理 信息 (PDU)。SNMP 提供 的 管理 操 
作 如 下 。 

。 管理 进程 从 代理 处 获取 被 管 对 象 的 信息 。 

。 管理 进程 通过 代理 设置 或 修改 被 管 对 象 的 属性 。 

SNMP 的 网 络 管理 操作 采用 的 是 轮 询 管理 策略 和 事件 管理 策略 。 当 网 络 管理 进程 
需要 了 解 某 个 设备 的 状态 时 ,通过 SNMP 发 送 一 个 “ 读 请 求 ” 的 协议 数据 单元 ,该 被 管 代 
理 收 到 SNMP 的 数据 报 后 ,回答 一 个 “响应 ”数据 报 , 把 管理 进程 需要 的 信息 送 给 管理 进 
fé; 当 网 络 管理 进程 需要 改变 远 地 某 个 设备 的 状态 时 ,例如 把 一 个 路 由 器 的 某 个 端口 状 
态 由 Disable 7E Jy Enable. 开放 一 个 路 由 器 端口 ,增加 一 条 路 由 设置 时 ,管理 员 通 过 
SNMP 发 送 一 个 “设置 请 求 ”数据 报 给 被 管 对 象 的 代理 ,由 被 管 代理 完成 设备 状态 的 
设置 。 

在 SNMP 中 ,被 管 对 象 的 当前 状态 符合 某 种 预先 设 定 的 状态 时 , 即 发 生 了 某 种 特定 
的 事件 时 , 它 会 向 管理 进程 主动 发 出 一 种 协议 单元 ,主动 向 管理 者 报告 自己 状态 的 变化 ， 
这 种 协议 单元 称 作 陷阱 报 文 。 陷 阱 报 文 在 智能 网 络 管理 中 是 非常 重要 的 , 当 网 络 出 现 故 
障 时 ,管理 进程 可 以 根据 陷阱 报 文 进行 诊断 和 故障 处 理 。 

在 一 个 网 络 中 只 有 一 个 管理 者 ,其 他 都 是 被 管 代理 时 , 称 为 集中 式 网 络 管理 。 在 网 络 
相当 庞大 时 ,集中 式 管理 就 非常 困难 。SNMP v2 中 增加 了 管理 者 之 间 的 通信 功能 , 即 在 
一 个 网 络 中 ,可 以 有 多 个 管理 者 ,可 以 实现 分 层 多 级 管理 。 在 分 层 多 级 网 络 管理 中 ,可 以 
按照 层次 设置 多 个 管理 者 ,高 层 管理 者 只 管理 下 属 的 一 些 管理 器 ,最 低层 管理 者 才 管 理 具 
体 被 管 对 象 。 

当 网 络 中 有 多 个 管理 者 时 ,被 管 代理 不 能 接收 非法 管理 者 的 管理 操作 ,以 保证 整个 网 
络 的 正常 运行 ,为 网 络 提供 一 定 的 安全 性 。 为 了 使 SNMP 代理 拒绝 非法 管理 者 的 网 络 管 
理 报 文 ,在 SNMP 中 使 用 了 共同 体 的 概念 (CCommunity) ,在 SNMP 管理 者 和 SNMP 代理 
之 间 设 置 一 个 共同 体 名 字 , 只 有 具有 相同 共同 体 名 字 的 管理 者 才能 对 SNMP 代理 进行 管 
理 , 当 检查 管理 报 文中 共同 体 名 不 符 时 ,SNMP 代理 将 丢弃 管理 报 文 。 另 外 在 SNMP 代 
理 上 还 可 以 设置 管理 者 的 IP 地 址 清单 ,通过 IP 源 地 址 判别 是 否 是 合法 的 管理 者 。 一 个 
SNMP 代理 可 以 同时 属于 多 个 共同 体 。 

7.2.4 MIB 与 SMI 

MIB 是 被 管 对 象 信息 的 集合 ,表示 网 络 中 各 种 网 络 设备 .网 络 资源 的 状态 ,是 网 络 管 
理 系统 实现 的 基础 。 但 实际 上 ,网 络 中 并 不 存在 一 个 完整 的 管理 信息 库 MIB. MIB 是 和 
被 管 代理 一 起 存在 于 具体 的 被 管 对 象 上 ,如 Router, Firewall, Switch 等 ,由 被 管 对 象 上 的 
代理 进程 维持 其 和 物理 实体 的 一 致 性 ,网 络 管理 进程 通过 被 管 代 理 对 MIB 进行 访问 和 
控制 。 

为 规范 MIB 中 网 络 管理 信息 的 表示 方式 ,SNMP 协议 网 络 管理 体系 中 由 RFC1155 
定义 了 “管理 信息 结构 (Structure of Management Information, SMI)”, 即 各 种 被 管 对 象 
表示 、 命 名 的 方法 。 

在 SMI 中 ,使 用 “抽象 语法 符号 1(Abstract Syntax Notation One, ASN. 1)” 的 描述 


计算 机 网 络 安全 与 管理 


形式 ,定义 了 网 络 中 6 个 主要 的 被 管 对 象 类 型 : 网 络 地 址 、IP 地 址 、 时 间 标 记 、 计 数 器 、 计 
量 器 和 非 透 明 数据 类 型 。SMI 中 还 定义 了 表示 管理 信息 的 标准 方法 ,规定 每 个 对 象 都 有 
3 个 属性 : 名 字 、 语 法 和 编码 。 

为 了 能 够 在 MIB 中 唯一 标识 某 种 对 象 ,SMI 采用 了 ASN. 1 树 形 结构 来 表示 被 管理 
对 象 的 信息 ,如 图 7-3 所 示 。 每 个 MIB 对 象 由 对 象 标识 符 (Object Identifier,OID) 唯 一 标 
识 ,OID 是 一 组 以 “点 ?分隔 的 字符 串 或 整数 , 它 指 示 了 该 被 管 对象 在 树 形 结构 中 的 位 置 。 
例如 ,Cisco 网 络 设备 上 VLAN 信息 的 MIB OID 为 1. 3. 6. 1. 4. 1. 9. 5.1. 9. 3, 
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ciscoStackMIB(1) 
vlanGrp(9) 


vlanPortTable(3) 


7-3 SMI 中 的 OID 


7.2.5 网 络 管理 工具 

网 络 管理 工具 是 指 能 够 协助 网 络 管理 员 采 集 、 分 析 网 络 管理 数据 ,调整 网 络 配置 的 软 
硬件 。 目 前 常用 网 络 管理 工具 种 类 繁多 ,功能 ,规模 相差 很 大 。 例 如 ,从 功能 上 分 类 ,有 能 
提供 网 络 管理 5 项 功能 的 网 络 管理 平台 ,如 HP OpenView, 也 有 只 能 提供 络 部 分 管理 功 
能 的 网 络 管理 软件 ,如 进行 网 络 性 能 监控 的 PRTG ,甚至 是 只 能 检测 一 项 网 络 状态 的 命令 
行 工具 ,如 ping。 另 外 ,网 络 管理 工具 可 能 是 一 个 能 够 管理 各 种 网 络 设备 资源 的 通用 网 
络 管理 软件 ,如 HP OpenView, IBM Tivoli, 也 可 以 是 网 络 设备 厂商 专门 为 其 网 络 设备 制 
作 的 网 络 管理 软件 ,如 Cisco 的 CiscoWorks 系列 网 络 管理 软件 。 

网 络 管理 员 在 选择 网 络 管理 工具 时 .需要 根据 网 络 管理 需求 .所 能 实现 的 网 络 管理 成 
本 、 网 络 设备 所 能 支持 的 网 络 管理 功能 等 各 方面 因素 进行 考虑 。 
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网 络 配置 管理 包括 对 网 络 中 网 络 设备 网络 服 务 等 网 络 中 各 组 件 配置 信息 的 管理 、 修 
改 和 状态 监控 。 限 于 篇 幅 和 内 容 , 有 关 网 络 服务 配置 管理 可 参见 本 系列 教材 中 《网 络 操作 
系统 ) 一 书 ,本 书 不 再 更 述 。 
1. 收集 网 络 配置 信息 
网 络 设备 配置 信息 保存 方式 及 收集 手段 如 表 7-1 所 示 。 


表 7-1 收集 网 络 配置 信息 
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网 络 配置 信息 


收集 方式 


配置 文件 


使 用 FTP、TFTP 工具 传送 配置 文件 


网 络 节点 配置 .状态 信息 


使 用 Telnet SSH 远程 登录 网 络 设备 查看 配置 .状态 信息 


MIB 


使 用 网 络 管理 软件 通过 SNMP 代理 收集 配置 信息 


采集 、 保 存 路 由 器 ,交换 机 配置 文件 以 及 使 用 远程 访问 方式 登录 网 络 节 点 查看 网 络 配 
置 的 操作 可 参考 本 系列 教材 中 《计算 机 网 络 集成 技术 ?一 书 ; 使 用 网 络 管理 软件 通过 
SNMP 代理 收集 配置 信息 的 方式 ,参见 本 书 7. 6.2 小 节 。 

需要 注意 的 是 ,通过 网 络 访问 网 络 设备 配置 信息 时 ,建议 为 网 络 设备 配置 专门 的 管理 
地 址 。 同 时 ,为 保证 网 络 设 备 管理 地 址 所 在 接口 的 稳定 性 ,一 般 在 路 由 器 上 使 用 
Loopback 接口 .在 交换 机 上 使 用 管理 VLAN 虚 接 口 作为 网 络 设备 管理 地 址 所 在 的 接口 。 

在 Cisco PIX 防火 墙 上 对 使 用 Telnet 远程 访问 防火 墙 进行 了 严格 限制 。 虽然 防火 墙 
任何 接口 都 可 以 配置 用 来 访问 防火 墙 , 但 Cisco PIX 防火 墙 要 求 来 自 外 部 接口 的 Telnet 
流量 需要 经 过 IPSec 的 保护 。 

在 Cisco PIX 防火 墙 上 配置 启用 Telnet 的 操作 步骤 如 表 7-2 所 示 。 
X 7-2 Cisco PIX 防火 墙 Telnet 访问 配置 步骤 


序 号 操 Æ 相关 命令 必要 
步骤 1 指定 可 以 访问 防火 墙 的 主机 telnet 是 
步骤 2 指定 Telnet 访问 使 用 的 口令 passwd 是 
步骤 3 指定 Telnet 会 话 空闲 时 间 telnet timeout 可 选 
步骤 4 检查 Telnet 配置 show running-config 可 选 
SRS | 管理 Telnet 会 话 DE 


CD 指定 可 以 访问 防火 墙 的 主机 
在 Cisco PIX 防火 墙 上 ,指定 可 以 访问 防火 墙 主机 的 操作 为 在 全 局 配置 模式 下 输入 ， 


telnet 


主机 (网 络 )IP 地 址 或 主机 名 FRB HH 


参数 “主机 (网 络 )IP 地 址 或 主机 名 ?及 * 子 网 掩 码 ? 用 于 定义 哪些 主机 或 网 络 可 以 使 


ON 
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用 Telnet 方式 访问 防火 墙 。 注 意 ,Cisco PIX 防火 墙 最 多 可 支持 16 个 主机 或 网 络 Telnet 
访问 。 

参数 “接口 ?用 于 定义 Telnet 访问 来 自 于 防火 墙 的 哪个 接口 。 

例如 ,如 下 命令 将 定义 网 络 192. 168. 1. 0 能 够 通过 inside 接口 访问 防火 墙 。 


pixfirewall(config) # telnet 192.168.1.0 255.255.255.0 inside 


(2) 指定 Telnet 访问 使 用 的 口令 

在 Cisco PIX 防火 墙 上 ,指定 Telnet 访问 使 用 的 口令 的 操作 为 在 全 局 配置 模式 下 
输入 : 

passwd 口令 

(3) 指定 Telnet 会 话 空闲 时 间 

当 会 话 空闲 时 断 开 连接 ,可 以 节省 防火 墙 资 源 。 在 Cisco PIX 防火 墙 上 ,指定 Telnet 
会 话 空闲 时 间 的 操作 为 在 全 局 配置 模式 下 输入 : 

telnet timeout 空闲 时 间 

参数 “空闲 时 间 ” 单 位 为 秒 ,默认 值 为 5。 

(A) 管理 Telnet 会 话 连接 

在 Cisco PIX 防火 墙 上 可 以 使 用 who 命令 检查 有 哪些 主机 登录 到 防火 墙 上 ,并 可 以 
使 用 Kill 杀 掉 已 经 连接 到 防火 墙 的 Telnet 连接 。 其 操作 如 下 。 

pixfirewall# who 

0: 192.168. 1.1 

pixfirewall# kill 0 

pixfirewall# who 

使 用 who 命令 可 以 查看 Telnet 连接 的 连接 ID ,在 杀 掉 Telnet 连接 时 , 需 在 kill 命令 
后 使 用 连接 ID 指定 杀 掉 哪个 连接 。 

2. 修改 网 络 配置 信息 

修改 网 络 节点 的 配置 信息 ,可 以 通过 两 种 方式 进行 。 一 种 是 通过 远程 访问 ,例如 
Telnet, SSH; 另 一 种 是 通过 网 络 管理 软件 ,例如 HP OpenView 等 。 

一 般 在 大 型 网 络 中 , 才 会 选择 使 用 通用 网 络 管理 软件 来 对 网 络 设 备 进行 配置 修改 管 
理 ; 大 部 分 网 络 会 选择 使 用 网 络 设备 配套 的 网 络 管理 软件 对 其 进行 管理 ,例如 Cisco 路 由 
器 的 SDM 软件 ,Cisco PIX 防火 墙 的 PDM 软件 ,Cisco 交换 机 的 Lan Manager; 另外 很 多 
网 络 管理 员 仍 然 习惯 使 用 Telnet 或 者 SSH 远程 登录 网 络 设备 ,配置 网 络 设备 。 


3. 发 现 和 显示 网 络 的 拓扑 结构 

网 络 拓扑 管理 是 将 网 络 设备 间 的 连接 关系 以 图 形 方式 显示 出 来 ,帮助 网 络 管理 员 更 
好 管理 网 络 。 网 络 拓扑 管理 一 般 通 过 网 络 拓扑 管理 工具 实现 。 专 业 的 网 络 管理 软件 中 一 
般 都 会 设置 网 络 拓扑 管理 功能 。 另 外 也 有 一 些 免 费 的 网 络 拓扑 发 现 工具 ,例如 可 以 在 局 
域 网 中 使 用 的 LanTopolog, 如 图 7-4 所 示 。 
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Realy ri ee 
图 7-4 ”网络 拓扑 发 现 软件 示例 


7.4 网 络 故障 管理 


网 络 故障 管理 流程 如 图 7-5 所 示 。 当 发 现 网 络 出 现 故障 时 , 需 先 收集 网 络 故障 有 关 


数据 ; 然后 根据 这 些 数据 对 网 络 故障 原因 进行 分 析 , 定 
位 故障 点 ,故障 层次 ; 接着 应 根据 故障 分 析 结 果 ,制定 故 
障 排除 方案 ,并 对 方案 进行 测试 : 如 果 方 案 经 过 测试 可 
行 , 则 可 以 按照 方案 实施 排除 故障 ; 如 果实 施 故障 排除 
方案 后 还 不 能 排除 故障 , 则 应 回 退 重新 收集 故障 数据 , 进 
行 故障 排查 过 程 。 
7.4.1 网 络 故障 监测 

网 络 管理 中 监测 网 络 故障 的 方式 有 两 种 : 异步 告 
SR .主动 轮 询 。 异 步 告警 是 指 网 络 设备 在 发 生 故障 后 , 主 
动向 网 络 管理 系统 发 出 警报 ; 主动 轮 询 是 指 由 网 络 管理 
软件 定期 查询 网 络 节点 状态 。 
7.4.2 ”网络 故障 分 析 定位 

网 络 故障 分 析 定位 的 常用 方法 有 : 分 层 法 、 分 段 法 、 
替换 法 和 比较 法 。 图 7-5 网 络 故障 管理 流程 


1. 分 层 排查 网 络 故障 

计算 机 网 络 是 基于 OSI 分 层 模 型 构建 起 来 的 。 根 据 不 同 网 络 层次 的 功能 特点 ,可 以 
使 用 相应 层次 的 检测 工具 , 自 上 而 下 或 自 下 而 上 逐 层 进行 测试 检查 ,以 定位 故障 点 。 

自 上 而 下 的 检查 方法 是 指 先 从 OSI 模型 的 应 用 层 开 始 检查 故障 原因 ,然后 逐 层 向 下 检 
查 。 例 如 , 当 发 现 网 络 服务 不 能 访问 时 ,可 按 图 7-6 所 示 检 查 各 层 网 络 组 件 是 否 存在 问题 。 

自 下 而 上 排除 法 是 指 从 物理 层 开始 . 逐 层 向 上 排查 网 络 故障 的 方法 。 

一 般 情 况 下 ,如 果 根 据 故 障 现象 已 能 够 大 致 判断 出 网 络 层次 范围 时 ,可 采用 自 上 而 下 方 
法 进行 排查 ; 当 网 络 故障 原因 复杂 ,难以 快速 判断 层次 时 ,可 采用 自 下 而 上 的 方法 进行 排 


发 现 网 络 故障 


采集 网 络 故 障 数据 


分 析 、 定 位 网 络 故 障 原因 


拟定 并 测试 网 络 故障 排除 方案 


实施 网 络 故障 排除 方案 


故障 是 否 排除 


记录 网 络 故 障 日 志 
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检查 网 络 应 用 进程 是 否 已 经 正常 启动 
(工具 : ps 命令 、 任 务 管理 器 ) 


重启 网 络 应 用 进程 ， 
排除 故障 


检查 网 络 应 用 端口 是 否 正常 
(工具 : netstat 命 令 ) 


修改 网 络 应 用 配置 ， 
排除 故障 


检查 网 络 连通 性 ， 包 括 网 络 
接口 地 址 配置 、 路 由 配置 (工具 : ping、 


traceroute、route 命 今 等 


故障 


修改 错误 的 接口 地 
址 、 路 由 配置 


检查 网 络 接口 、 链 路 状态 
(工具 : 接口 指示 灯 、 接 口 链 路 配置 等 ) 


故障 


修改 链 路 配置 、 
更 换 网 络 接口 


(TR: 插 拔 、 替 换 线路 等 ) 


故障 


替换 线 缆 或 
重新 连接 线 缆 


图 7-6 自 上 而 下 排查 法 示例 


查 , 由 于 网 络 上 层 通信 和 需 依赖 下 层 提 供 的 服务 ,所 以 使 用 该 方法 能 够 准确 定位 网 络 故障 层次 。 


2. 分 段 排查 网 络 故 障 

分 段 排查 网 络 故障 是 指 以 网 络 拓扑 为 参考 , 沿 网 络 连接 , 逐 段 检查 网 络 故障 点 的 故障 
排除 方法 。 分 段 排查 时 ,还 可 使 用 “二 分 法 ”提高 检查 效率 。 

例如 , 当 要 排查 出 向 网 络 发 送 大 量 病毒 包 的 主机 时 ,网 络 管理 员 常 用 的 一 种 方法 就 是 
逐个 断 掉 网 络 上 主机 的 网 络 连 接 , 直 到 发 现 网 络 病毒 包 大 量 减 少时 , 则 可 判定 被 断 掉 网 络 
连接 的 主机 被 病毒 人 侵 了 。 

3. 蔡 换 法 排查 网 络 故障 

蔡 换 法 是 指 用 另外 的 网 络 组 件 蔡 换 当前 网 络 组 件 : 以 检测 当前 网 络 组 件 是 否 存在 问 
题 的 故障 排查 方法 。 例 如 ,排查 电缆 故障 时 ,可 以 使 用 另外 的 线 绕 蔡 换 当 前 线 缆 , 以 检查 
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原 电 缆 是 否 出 现 了 问题 。 


4. 比较 法 排查 网 络 故障 

比较 法 是 指 将 故障 点 与 其 他 相似 的 网 络 环境 进行 比较 ,以 帮助 分 析 故 障 发 生 原因 。 
例如 , 当 网 络 中 某 个 节点 无 法 连接 到 网 络 时 ,可 检查 网 络 中 其 他 节点 情况 ,如 果 仅 该 节点 
存在 网 络 连 通 性 问题 , 则 可 以 认为 问题 出 在 该 节点 上 。 


7.5 网 络 安全 管理 


7.5.1 网 络 安全 管理 概述 

L 网 络 安全 管理 目标 和 对 象 

网 络 安全 管理 目标 可 归纳 为 如 下 5 个 方面 。 

CD 机 密 性 : 网 络 上 传输 的 信息 受到 保护 ,只 能 被 指定 用 户 读 取 。 

(2) 完整 性 :网络 能 保证 信息 通过 网 络 传输 时 不 被 破坏 , 算 改 。 

C3) 可 用 性 :网络 能 够 提供 稳定 、 持 续 的 网 络 服务 ,得 到 授权 的 用 户 可 以 按照 指定 的 
途径 访问 网 络 资源 。 

CA) 抗 抵赖 性 : 网 络 提供 事件 记录 身份 认证 等 功能 ,使 网 络 实体 无 法 抵赖 已 经 发 生 
的 网 络 行为 。 

(5) 可 控 性 : 网 络 具有 可 管理 性 ,能 够 被 监测 和 控制 。 

网 络 安全 管理 涉及 网 络 系统 的 各 个 方面 ,包括 物理 环境 安全 、 人 员 安 全 .访问 控制 . 备 
份 与 恢复 等 。 网 络 安全 管理 的 对 象 包括 网 络 系统 中 的 主机 、 网 络 设备 .网络 链 路 线路 、 使 
用 网 络 的 个 体 、 网 络 末 以 存在 的 物理 环境 .网 络 配置 信息 、 软 件 、 数 据 等 各 个 方面 。 

2。 网 络 安全 管理 工作 流程 

网 络 安全 管理 的 工作 流程 如 图 7-7 所 示 。 进 行 网 络 安全 管理 的 第 1 步 ,是 根据 业务 
需求 明确 网 络 安 全 目标 ,制定 网 络 安全 策略 ; 然后 根据 网 络 安全 策略 ,对 网 络 进行 安全 配 
置 ; 在 实施 了 必要 的 安全 防护 措施 后 ,应 使 用 网 络 安全 审查 工具 定期 对 网 络 安全 性 进行 
检查 和 测试 ; 如 果 发 现 网 络 存在 安全 漏洞 , 则 需要 ae 
修改 .完善 网 络 安全 配置 ; 另外 , 除 主动 进行 的 安全 LE RI 
审查 外 , 当 发 生 的 网 络 安全 事件 证 明 网 络 还 存在 安 | 
全 漏洞 时 , 则 也 要 对 网 络 安全 配置 进行 修改 .完善 。 


3. 网 络 安全 管理 技术 
目前 常用 的 网 络 安全 管理 技术 如 下 。 


网 络 安全 配置 


网 络 安全 审查 | | 安全 事件 


， 加 密 技术 。 
。 认 证 技术 。 存在 安全 漏洞? i 
。 防 火 墙 、. 访 问 过 滤 技 术 。 
。VPN 技术 。 ! 


记录 安全 日 志 


。 入 侵 检测 与 防御 技术 。 
防 病毒 技术 。 图 7-7 网 络 管理 管理 工作 流程 
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。 备份 与 恢复 技术 。 
。 安 全 风险 扫描 技术 。 


4. 网 络 安全 管理 需 遵 循 的 标准 与 制度 

在 进行 网 络 管理 时 , 需 参 照 国家 、 国 际 有 关 标 准 进行 。 我 国 已 经 在 网 络 安全 方面 制定 
了 一 些 标 准 , 如 对 网 络 系统 安全 级 别 进行 定义 的 GB 17859 一 1999《 计 算 机 信息 系统 安全 
保护 等 级 划分 准则 》, 对 信息 安全 技术 安全 性 进行 定义 的 GB/T 18336 一 2001《 信 息 技术 
安全 技术 ”信息 技术 安全 性 评估 准则 》, 对 网 络 物理 安全 进行 定义 的 GB 9361 一 1988《 计 
算 机 站 场地 安全 要 求 》.GB 2887 一 2000《 电 子 计算 机 场地 通用 规范 》、GB 50174 一 1993《 电 
子 计 算 机 机 房 设 计 规范 ) 等 ,同时 还 有 各 类 网 络 设备 ,如 交换 机 、 路 由 器 安全 技术 要 求 相 关 
标准 ,对 各 种 网 络 , 如 软 交换 网 络 、 公 众 TP. 网 络 的 安全 要 求 标准 等 。 
7.5.2 网 络 安 全 审查 

网 络 安全 审查 是 指 根据 网 络 安全 需求 和 网 络 安全 标准 对 网 络 进 行 网 络 安全 风险 检 
BE ,评估 的 过 程 。 目 前 有 很 多 专门 的 网 络 安全 漏洞 扫描 软件 ,如 Nessus, SAINT 等 ,可 以 
对 各 种 操作 系统 、 网 络 设备 进行 安全 漏洞 扫描 。 

Nessus 软件 可 以 扫描 网 络 上 的 主机 、 网 络 设备 ,并 将 其 与 所 存 的 安全 漏洞 定义 库 进 
行 比较 ,检查 其 是 否 在 访问 控制 .系统 bug 等 方面 存在 安全 漏洞 。 如 图 7-8 所 示 为 使 用 
Nessus 对 某 系 统 进行 扫描 后 的 结果 。 


ive account on the remote host uses « weak password 


U has the password ‘password’. An attacker may use 
er privileges on this systen 


Set a strong password for this account or disable it 


Risk factor : 


Critical / CVSS Base Score - 10.0 
(CVSS2#AV-H/AC:L/ Au: N/C: C/I :C/A:C) 
CVE - CVE-1999-0502, CVE-2006-5288 


图 7-8 Nessus 安全 扫描 结果 
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Nessus 检查 结果 中 会 给 出 安全 漏洞 对 应 的 风险 标识 号 ,检索 CVE,BID,OSVDB 等 安全 
漏洞 网 站 ,可 以 查看 到 该 风险 标识 号 对 应 的 解决 建议 。CVE、BID、.OSVDB 等 就 像 字典 表 , 会 
为 广泛 认同 的 信息 安全 漏洞 .已 经 暴露 出 来 的 弱点 ,已 经 发 现 的 蠕虫 等 给 出 一 个 公共 的 名 称 。 
7.5.3 ”入侵 检 测 与 入 侵 防 御 

1. 入 侵 检 测 与 入 侵 防御 简介 

入 侵 检测 是 一 种 用 于 发 现 网 络 入 侵 行为 的 技术 ,提供 入 侵 检 测 功能 的 系统 称 为 入 侵 
检测 系统 (IDS)。 入 侵 检 测 系统 通过 检查 所 收集 网 络 数 据 报 文 是 否 具有 入 侵 特 征 , 或 网 
络 是 否 出 现 异常 ,来 判断 是 否 网 络 是 否 受 到 入 侵 。 入 侵 检测 系统 一 般 以 旁 路 方式 接 入 在 
高 安全 等 级 网 络 人 口 处 ,如 图 7-9 所 示 。 


防火 墙 


um 
x 
从 
Ei 
x 
ue 
E 
& 


图 7-9 IDS/IPS # Am fil 
入 侵 防 御 (IPS) 技 术 是 能 够 发 现 网 络 人 侵 行 为 ,并 进行 自 防 御 的 技术 。 相 对 IDS, A 
侵 防御 在 发 现 人 侵 后 ,会 发 出 警报 .丢弃 数据 包 和 重 置 连接 。 


2. 入 侵 检测 配置 
在 Cisco PIX 防火 墙 上 配置 人 侵 检测 /防御 的 步骤 如 表 7-3 所 示 。 


表 7-3 Cisco PIX 防火 墙 入 侵 检测 配置 步骤 


序 号 操 fF 相关 命令 必要 性 
步骤 1 创建 审计 策略 ip audit...info 是 
步骤 2 定义 人 侵 检 测 行为 ip audit...attack 是 
步 又 3 在 接口 上 应 用 审计 策略 ip audit interface 是 
步骤 4 检查 人 侵 检测 统计 信息 show ip audit count 可 选 
步骤 5 动态 阻挡 网 络 连 接 shun 可 选 


CD 创建 审计 策略 ,定义 默认 防御 行为 
在 Cisco PIX 防火 墙 上 ,创建 审计 策略 并 指定 审计 信息 特征 码 默认 行为 的 操作 为 在 
全 局 配置 模式 下 输入 : 
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ip audit name 审计 策略 名 
参数 audit name 为 审计 策略 名 。 
参数 info 表示 为 信息 类 特征 码 定 义 执行 的 动作 。 表 7-4 显示 了 Cisco PIX 防火 墙 上 
的 一 些 消 息 特征 码 , 当 防火 墙 发 现存 在 以 下 特征 的 网 络 流量 时 ,将 按照 审计 策略 定义 执行 


info 


Laction[ alarm | drop ][ reset | ] 


相应 的 动作 。 
表 7-4 Cisco PIX 防火 墙 上 的 消息 特征 码 
消息 号 | 特征 码 ID 特征 码 名 特征 码 类 型 | 消息 号 | 特征 码 ID 特征 码 名 特征 码 类 型 
400000| 1000 sig BODEN 信息  |400014| 2004 | ICMP 回声 请 求 信息 
IP 选项 -记录 数 " 
400001| 1001 据 包 路 由 信息 ”|400023| 2150 | 分 段 的 ICMP 流 攻击 
400002| 1002 IP -At fa] f 信息  |400024| 2151 大 量 ICMP 流 攻击 
400003| 1003 IP 选项 -安全 信息 |400025| 2154 死亡 之 ping 攻击 攻击 
400007| 1100 IP 分 段 攻击 Bit |400032| 4051 UDP snork 攻击 攻击 
400010| 2000 ICMP 回声 响应 信息  |400035| 6051 DNS 区 跳 转 攻击 
ICMP 主机 不 被 代理 的 RPC 
400011| 2001 可 达 信息 。 |400041| 6103 WR 攻击 
400013| 2003 ICMP 重 定向 
参数 alarm 表示 发 送 警 告 。 
参数 drop 表示 丢弃 数据 。 


参数 reset 表示 丢弃 数据 包 , 同 时 还 会 关闭 该 数据 包 属 于 的 连接 。 

(2) 定义 人 侵 防御 行为 

在 Cisco PIX 防火 墙 上 ,入 侵 检测 行为 策略 的 操作 为 在 全 局 配置 模式 下 输入 : 
ip audit name 审计 策略 名 attack [action [alarm] [drop] [reset]] 

(3) 在 接口 上 应 用 审计 策略 

在 Cisco PIX 防火 墙 上 ,应 用 审计 策略 的 操作 为 在 全 局 配置 模式 下 输入 : 

ip audit interface 接口 名 审计 策略 名 

(4) 检查 入 侵 检测 统计 信息 

在 Cisco PIX 防火 墙 上 ,检查 入侵 检测 统计 信息 的 操作 为 在 特权 模式 下 输入 : 
show ip audit count 

(5) 动态 阻挡 网 络 连 接 

在 Cisco PIX 防火 墙 上 ,动态 阻挡 网 络 连 接 的 操作 为 在 全 局 模式 下 输入 : 

shun ”被 阻挡 的 源 IP [被 阻挡 的 目的 IP Bo 目的 端口 [协议 ]] 

该 命令 将 配置 动态 阻挡 ,阻挡 从 某 个 IP 地 址 端口 到 某 个 IP 地 址 端口 的 连接 。 


例如 ,如 果 看 望 对 于 匹配 攻击 特征 码 后 的 数据 执行 警告 和 重 置 连 接 动作 ,对 于 匹配 信 
息 特 征 码 后 的 报 文 执行 警告 动作 的 命令 如 下 。 
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zb-fwO(config) + ip audit name attids attack action alarm reset 
zb-fwOCconfig) # ip audit name inforids info action alarm 
zb-fw0(config) A ip audit interface outside attids 

zb-fwO(config) # ip audit interface dmz  inforids 

zb-fwO(config) & ip audit interface inside  inforids 

zb-fwO(config) € shun 10.0. 0, 10 

Shun 10.0.0.10  addedincontext;single vf 

Shun 10.0.0.10 successful 


7.5.4 防 病毒 技术 

随 着 网 络 的 普及 和 计算 机 病毒 的 发 展 , 目 前 的 计算 机 病毒 侵害 的 对 象 不 再 只 是 单 台 
主机 ,而 是 整个 网 络 。 所 以 网 络 安全 管理 ,尤其 是 局 域 网 网 络 安全 管理 中 一 项 重要 的 工作 
是 进行 病毒 防护 的 布控 。 

1. 常见 病毒 种 类 简介 

目前 常见 的 网 络 病毒 种 类 如 下 。 

CD 系统 病毒 : 感染 特定 的 操作 系统 中 的 文件 ,例如 Windows 系统 中 的 x* . exe 和 
* , dll 文件 ,并 通过 这 些 文件 进行 传播 。 例 如 CIH 病毒 。 防 病毒 软件 通常 使 用 Win32 、 
PE、Win95 等 作为 前 级 定义 该 类 病毒 。 

(2) 蠕虫 病毒 : 通过 网 络 或 者 系统 漏洞 在 网 络 上 进行 传播 ,阻塞 网 络 。 例 如 冲击 波 
病毒 .小 邮差 病毒 。 防 病毒 软件 通常 使 用 Worm 作为 前 级 定义 该 类 病毒 。 

G) 木马 病毒 : 该 类 病毒 的 特点 是 通过 网 络 或 者 系统 漏洞 进入 用 户 系统 并 将 自己 隐藏 
起 来 ,然后 向 外 界 泄露 用 户 信息 。 防 病毒 软件 通常 使 用 Trojan. 作为 前 级 定义 该 类 病毒 。 

(4) 黑客 病毒 : 该 类 病毒 也 是 通过 网 络 或 者 系统 漏洞 进入 用 户 系统 并 将 自己 隐藏 起 
来 ,但 黑客 病毒 不 仅 泄露 用 户 信 息 ,还 使 用 户主 机 可 被 黑客 远程 控制 。 防 病毒 软件 通常 使 
用 Hack 作为 前 级 定义 该 类 病毒 。 

(5) 脚本 病毒 : 通过 网 页 传播 ,以 VBS, JavaScript 等 脚本 语言 编写 。 防 病毒 软件 通 
常 使 用 Script 作为 前 级 定义 该 类 病毒 。 

(6) 宏 病 毒 : 是 一 类 特殊 的 脚本 病毒 ,通过 微软 Office 处 理 的 文件 进行 传播 。 防 病 
毒 软件 通常 使 用 Macro 作为 前 组 定义 该 类 病毒 。 

CO 后 门 病毒 : 与 木马 病毒 相似 ,通过 网 络 传播 ,一 旦 侵入 用 户 系统 , 则 在 系统 上 打 
开 系 统 后 门 ( 某 些 监听 端口 )。 防 病毒 软件 通常 使 用 Backdoor 作为 前 组 定义 该 类 病毒 。 


2. 病毒 防护 技术 简介 

目前 主要 的 防 病毒 技术 主要 有 : 基因 码 检测 技术 .虚拟 机 技术 .代码 分 析 技 术 E 
防御 技术 。 

(1) 基因 码 检 测 技术 

基因 码 检测 也 被 称 为 特征 码 检测 。 目 前 几乎 所 有 防 病毒 软件 主要 使 用 的 还 是 此 种 技 
术 。 其 原理 是 利用 病毒 数据 库 里 的 病毒 特征 数据 ,与 被 扫描 文件 进行 对 比 ,从 而 找 出 被 病 
毒 感染 的 文件 。 但 使 用 这 类 防 病毒 技术 能 够 有 效 查 杀 病 毒 的 基础 是 病毒 库 能 够 及 时 得 到 
更 新 ,病毒 库 中 能 收录 最 新 的 病毒 特征 数据 。 
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(2) 虚拟 机 技术 

虚拟 机 技术 是 指 防 病毒 软件 在 进行 查 杀 病毒 时 ,模拟 出 一 个 小 型 虚拟 运行 环境 ,让 程 
序 在 该 虚拟 运行 环境 中 试 执行 ,从 而 使 病毒 暴露 其 攻击 特征 。 使 用 此 种 技术 可 以 发 现 大 
部 分 变形 病毒 和 大 量 未 知 病毒 。 

(3) 代码 分 析 技 术 

代码 分 析 技 术 是 指 通 过 分 析 指 令 出 现 顺 序 或 特定 代码 组 合 等 病毒 特征 来 判断 文件 是 否 
感染 病毒 的 技术 。 即 通过 扫描 病毒 特定 的 行为 或 多 种 行为 组 合 来 判断 文件 是 否 感染 了 病毒 。 

(4) 主动 防御 技术 

主动 防御 技术 是 指 全 程 监视 进程 行为 ,发 现 “ 违 规 ” 行 为 ,就 通知 用 户 或 直接 终止 进程 
的 技术 。 通 过 监控 Windows 系统 的 注册 表 键 值 .系统 文件 .网 络 访问 等 变动 情况 ,发 现 是 
否 受到 病毒 侵害 。 其 缺点 是 需要 用 户 太 多 干预 。 

3. 病毒 防 控 的 部 署 

病毒 防 控 的 部 署 工作 主要 包括 以 下 几 个 方面 。 

(1) 提高 系统 主机 的 抵御 病毒 侵害 能 力 

当主 机 存在 安全 漏洞 时 ,容易 成 为 病毒 侵害 的 对 象 。 因 此 加 强 主机 系统 本 身 安全 ,及 
时 更 新 系统 ,为 系统 打 补 本 是 提高 主机 抗 病毒 能 力 的 基础 。 

(2) 保证 病毒 防护 措施 及 时 有 效 

如 前 所 述 , 由 于 特征 码 检 测 是 目前 最 主要 的 病毒 防护 措施 ,所 以 必须 保证 病毒 库 能 及 
时 更 新 。 但 在 网 络 中 有 和 较 多 主机 的 情况 下 , 逐 台 主机 维护 病毒 库 是 不 可 行 的 。 因 此 在 部 
署 防 病毒 软件 时 ,可 选用 防 病毒 软件 的 网 络 版 本 。 这 种 版 本 的 防 病毒 软件 ,在 网 络 中 设置 
一 台 病 毒 库 服务 器 ,可 以 主动 向 网 络 中 主机 “推送 "病毒 库 。 

(3) 加 强人 员 网 络 安全 培训 

大 部 分 病毒 的 传播 是 由 于 用 户 缺 乏 必要 的 网 络 安 全 防护 知识 ,所 以 加 强 用 户 网 络 安 
全 培训 ,提高 用 户 防 病毒 意识 ,是 遏制 病毒 泛滥 的 有 效 手段 之 一 。 
7.5.5 记录 安全 日 志 

通过 安全 日 志 , 网 络 管理 员 可 以 获得 网 络 安全 事件 的 许多 信息 ,但 记录 安全 日 志 会 消 
耗 网 络 设备 的 网 络 资源 ,因此 需 在 网 络 性 能 许可 下 谨慎 配置 。 要 记录 网 络 节点 的 日 志 , 需 
先 安装 配置 syslog 服务 器 ,然后 在 网 络 节点 上 启用 日 志 记录 功能 。 

1. 配置 网 络 设备 记录 日 志 

在 Cisco 网 络 设备 上 配置 进行 日 志 记 录 的 基本 步骤 如 表 7-5 所 示 。 表 7-6 列 出 了 日 
志 级 别 参数 值 。 

表 7-5 启用 网 络 设备 安全 日 志 功能 的 基本 步骤 


序 号 操 作 相关 命令 必要 性 
步骤 1 启用 日 志 记录 功能 logging enable 或 logging on 是 
步骤 2 指定 syslog 服务 地 址 或 主机 名 logging host 是 
步骤 3 指定 日 志 级 别 logging trap 是 
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表 7-6 日 志 级 别 参数 值 
级 别 值 日 志 级 别 a b 
0 emergencies 系统 不 可 用 
1 alerts 报警 ,在 端口 上 需要 立即 操作 
2 critical 网 络 设备 上 存在 一 个 关键 状态 
3 errors 网 络 设备 上 存在 一 个 错误 状态 
4 warnings 网 络 设备 上 存在 一 个 警告 状态 
5 notifications 网 络 设备 上 发 生 了 一 个 重要 的 事件 
6 informational 网 络 设 备 上 发 生 了 一 个 信息 事件 
debugging 来 自 debug 命令 的 输出 


例如 ,要 将 边界 路 由 器 日 志 写 入 到 200. 100. 8. 25 上 的 配置 操作 如 下 。 


zb-r0(config) # logging on 
zb-r0(config) # logging host 200.100.8.25 
zb-r0(config) # logging trap informational 


2. 安装 配置 日 志 服务 器 
Kiwi Syslog Daemon 是 一 种 常用 的 Syslog 服务 器 。Kiwi Syslog Daemon 安装 完成 


后 ,还 需 配 置 服务 监听 的 地 址 和 端口 。 


运行 Kiwi Syslog Daemon, 单 击 软件 快捷 菜单 上 


的 图 标 ,打开 如 图 7-10 所 示 的 配置 窗口 ,配置 服务 监听 的 地 址 和 端口 。 
在 Bind to address 文本 框 中 输入 Syslog 服务 器 使 用 的 地 址 。 


Kiwi Syslog Daemon Setup 


iaxmumuuaÓageoo UDP 


M Display 
M Log to file. 
Schedules 
S Formatting 
Custom fle formats 
Custom DB formats 
E DNS Resolution 
ONS Setup 
DNS Caching 
Modifiers 
Scripting 


Min message count 
Max message count 


Test message 
Defaults/impon/E xport 


UDP input options 


[V] Listen for UDP Syslog messages 
UDP Port (1-65535; — [514 
Bind to address: 


10022 


Dala encoding: [System 


图 7-10 配置 Syslog 服务 器 监听 地 址 和 端口 


P 
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当 服 务 器 在 正确 的 地 址 和 端口 上 开始 监听 日 志 记录 请 求 时 ,网 络 设备 上 会 出 现 如 下 
提示 信息 ,表示 目前 设备 正在 连接 Syslog 服务 器 ,一 旦 连接 成 功 ,会 在 Syslog 服务 器 主 窗 
口中 看 到 网 络 设备 发 来 log 信息 。 


*Sep 5 19:13:02.423: %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 200. 100. 8. 


25 started-CLI initiated 
* Sep 5 19:13:02.423: %SYS-6-LOGGINGHOST_STARTSTOP; Logging to host 200. 100. 8. 


25 started-CLI initiated 


7.6 ”网络 性 能 管理 


7.6.1 网 络 性 能 管理 概述 
计算 机 网 络 由 网 络 设备 、 线 路 ,网 络 服务 等 构成 ,网 络 性 能 管理 需要 对 这 些 网 络 组 件 
的 运行 状态 ,效率 进行 监控 和 调整 ,使 网 络 能 在 满足 通信 需求 的 情况 下 更 高 效 地 工作 。 
1. 网 络 性 能 管理 流程 
网 络 性 能 管理 的 工作 流程 如 图 7-11 所 示 。 其 中 采集 .分 析 网 络 性 能 数据 ,也 被 称 为 
网 络 性 能 监控 。 
开始 


1 
制定 性 能 指标 与 阔 值 


u 
采集 网 络 性 能 数据 


1 
分 析 监测 数据 、 报 告 监测 结果 


网 络 性 能 
调整 、 优 化 


保存 性 能 管理 记录 


图 7-11 网 络 性 能 管理 工作 流程 


2. 网 络 性 能 指标 

评价 网 络 性 能 通过 评价 网 络 是 否 满足 某 些 性 能 指标 来 进行 。 常 用 网 络 性 能 指标 包括 
如 下 几 种 。 

CD 网 络 总 体 性 能 指标 : 网 络 连通 性 、 网 络 知 吐 量 、 网 络 资源 利用 率 、 响 应 时 间 等 。 

(2) 网 络 节点 性 能 指标 : 吞吐 量 、 转 发 率 . 丢 包 率 ,节点 处 理 时 延 等 。 
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CD 链 路 性 能 指标 : 带宽 、 信 道 利 用 率 、 带 宽 利 用 率 等 。 

(4) 网 络 服务 的 性 能 指标 : 服务 响应 时 间 、 最 大 并 发 连接 数 等 。 

3. 采集 网 络 性 能 数据 的 方法 

采集 网 络 性 能 数据 可 从 以 下 几 个 方面 进行 。 

CD 利用 驻 留 在 网 络 节点 上 的 网 络 管理 代理 程序 ,采集 网 络 性 能 数据 。 例 如 ,通过 配 
置 网 络 设备 上 的 SNMP 代理 ,可 以 读 取 网 络 设备 上 MIB 中 有 关 网 络 性 能 的 信息 。 表 7-7 
显示 了 Cisco Catalyst 2960 交换 机 MIB 中 与 网 络 性 能 有 关 的 部 分 对 象 。 

表 7-7 Cisco Catalyst 2960 交换 机 MIB 中 的 部 分 对 象 


对 象 名 功 能 对 象 名 功 能 
ifSpeed 接口 速率 ifOutQlen 接口 出 站 队列 长 度 
ifInOctets 接口 人 站 流量 速率 ifOutErrors 接口 出 站 错误 报 文 数 
ifOutOctets 接口 出 站 流量 速率 ifInErrors 接口 入 站 错误 报 文 数 


(2) 观察 网 络 现 有 流量 。 例 如 ,可 通过 网 络 监听 工具 (Wireshark、Sniffer ^5) ,捕获 网 
络 上 现 有 数据 包 , 分 析 数 据 报 文 是 否 存 在 广播 风暴 、 是 否 有 大 量 重 传 的 数据 包 等 ,从 侧面 
了 解 网 络 当前 性 能 状况 。 

(3) 制造 测试 流量 ,并 观察 网 络 处 理 测试 流量 的 情况 。 例 如 ,可 通过 观察 到 某 网 络 节 
点 的 ping 包 响 应 返回 时 间 延 迟 ,来 获得 两 个 网 络 节点 间 的 网 络 时 延 信息 。 
7.6.2 利用 网 络 节 点 上 的 网 管 代理 监测 网 络 性 能 

目前 常用 的 网 络 设备 或 主机 操作 系统 都 支持 SNMP 网 络 管理 功能 。 通 过 配置 网 络 
设备 和 主机 上 的 SNMP 代理 程序 ,可 使 网 管 工 具 能 够 利用 SNMP 协议 从 网 络 设 备 或 主 
机 上 直接 采集 网 络 性 能 数据 ,监控 网 络 性 能 。 

1. 网 络 设备 SNMP 代理 配置 

在 Cisco IOS 路 由 器 或 交换 机 上 配置 SNMP 代理 的 基本 操作 步骤 如 表 7-8 所 示 。 代 
理 要 与 网 络 管理 实体 建立 SNMP 通信 连接 ,必须 先 明确 与 网 络 管理 实体 通信 使 用 的 


SNMP 共同 体 名 称 、 管 理 实体 的 地 址 ,然后 通过 启用 管理 代理 通知 ,使 之 向 管理 实体 报告 
网 络 管理 信息 。 
表 7-8 网 络 设备 SNMP 代理 基本 配置 步骤 

序 号 操 fF 相关 命令 必要 

步骤 1 定义 SNMP 共同 体 snmp-server community 是 

步骤 2 指定 SNMP 管理 实体 地 址 snmp-server host 是 

步骤 3 启用 SNMP 代理 通知 snmp-server enable traps 是 

m4 | 检查 SNMP 代理 配置 renames DES 

show snmp 


CD 定义 SNMP 共同 体 
在 Cisco IOS 路 由 器 或 交换 机 上 ,创建 SNMP 共同 体 的 操作 为 在 全 局 配置 模式 下 
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输入 : 
snmp-server community snmp 共同 体 名 [snmp 访问 权限 ] 


参数 “snmp 共同 体 名 ”用 于 定义 新 建 共 同体 的 名 称 , 共 同体 名 称 为 一 串 字 符 。 

参数 “snmp 访问 权限 ”用 于 定义 使 用 该 共同 体 名 称 的 网 络 管理 实体 和 代理 通信 时 具 
有 的 操作 权限 。 可 选 值 分 别 为 rw、ro。 

还 可 以 在 全 局 配置 模式 下 输入 如 下 命令 ,限制 哪些 管理 实体 可 以 使 用 指定 的 SNMP 
共同 体 名 访问 该 网 络 设备 。 

snmp-server community snmp 共同 体 名 [ACL 名 或 ACL 号 ] 


(2) 指定 SNMP 管理 实体 地 址 
在 Cisco IOS 路 由 器 或 交换 机 上 ,指定 SNMP 管理 实体 地 址 的 操作 为 在 全 局 配置 模 
式 下 输入 : 


snmp-server host snmp 管理 实体 IP 地址 snmp 共同 体 名 


例如 ,如 果 基 于 SNMP 的 网 络 监控 软件 安装 在 主机 192. 168.0. 254 上 ,而 snmp 共同 
体 名 为 test, 则 可 以 在 网 络 设备 上 输入 如 下 命令 创建 相应 SNMP 共同 体 , 并 定义 网 络 设 
备 网 络 管理 代理 所 对 应 的 管理 实体 地 址 。 

C2960-1-2-1(config) # snmp-server community test 

C2960-1-2-1(config) # snmp-server host 192.168.1.2 test 

(3) 启用 SNMP 代理 通知 

在 Cisco IOS 路 由 器 或 交换 机 上 ,启用 SNMP 代理 向 网 络 管理 实体 发 送 通 知 的 操作 
为 在 全 局 配置 模式 下 输入 : 

snmp-server enable traps [通知 信息 类 型 ] 

该 命令 可 不 带 参 数 使 用 ,此 时 会 默认 启用 所 有 通知 。 

(4) 检查 SNMP 代理 配置 

在 Cisco IOS 路 由 器 或 交换 机 上 ,可 以 使 用 show snmp 命令 检查 网 络 设备 上 SNMP 
代理 的 配置 信息 。 

例如 ,检查 网 络 设备 上 配置 的 SNMP 共同 体 信 息 , 可 在 特权 配置 模式 下 输入 : 


show snmp community 
该 命令 的 输出 结果 如 下 。 


C2960-1-2-1 show snmp community 


Community name: ILMI 
Community Index: cisco0 
Community SecurityName; ILMI 


storage-type: read-only active 
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Community name: test 
Community Index: ciscol 
Community SecurityName: test 


storage-type: nonvolatile active 

又 如 ,要 检查 网 络 设备 上 配置 的 网 络 管理 实体 地 址 信息 ,可 在 特权 模式 下 输入 ， 
show snmp host 

该 命令 的 输出 结果 如 下 。 


C2960-1-2-1 # show snmp host 
Notification host; 192. 168. 0. 254 udp-port; 162 type; trap 


user; test security model; vl 


通过 show snmp 命令 还 可 以 获得 网 络 设 备 上 SNMP MIB 库 的 信息 。 例 如 ,可 以 通 
过 show snmp mib 命令 了 解 网 络 设备 现 有 MIB 中 ,可 被 管 对 象 及 其 OID 等 信息 。 
show snmp mib 命令 的 输出 结果 如 下 。 


C2960-1-2-1#show snmp mib 
此 处 省 略 部 分 显示 .… 
ifNumber 

ifIndex 

ifDescr 

ifType 

ifMtu 

ifSpeed 
ifPhysAddress 
ifAdminStatus 
ifOperStatus 
ifLastChange 
ifInOctets 
iflnUcastPkts 

此 处 省 略 部 分 显示 … 
ip. 1 

此 处 省 略 部 分 显示 … 
icmp. 1 


此 处 省 略 部 分 显示 … 


2. 网 络 性 能 监控 软件 的 安装 配置 

PRTG 是 一 款 基 于 Windows 平台 的 网 络 性 能 监控 软件 , 它 能 够 通过 SNMP 协议 与 
网 络 节点 上 的 网 络 管理 代理 通信 ,获取 网 络 节点 上 的 MIB 信息 ,并 通过 图 表 方 式 显示 
出 来 。 

(1) 安装 PRTG 

从 www. paessler. com/prtg/download 可 以 下 载 PRTG 的 免费 试用 版 。 其 安装 非常 
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简单 ,只 需 双 击 运行 安装 程序 ,然后 配置 几 项 参数 ,逐步 单 击 Next 按钮 即 可 。PRTG & 
装 过 程 中 需要 配置 的 参数 如 图 7-12 所 示 。 


PRTG Network Monitor 
Essential Settings for PRTG Network Monitor 


Administrator Account 
Login Name: — SEEEN Password: 


Web Server IPs Web Server Port 
@ Localhost only (127.0.0. 1, no external access) @ Standard Web Server Port 80 (recommended setting) 


© HTTPS/SSL on port 443 


© speafy port: 


PRTG Network Monitor (HAPPY-PC) 


图 7-12 PRTG 监控 服务 器 配置 窗口 


O PRTG 监测 服务 器 工作 的 IP 地址。 由 于 最 新 支持 Web 页 面 显示 功能 的 PRTG, 
需要 在 Windows 系统 上 创建 一 个 Web 服务 器 来 显示 PRTG 获取 的 网 络 性 能 数据 ,所 以 
在 安装 过 程 中 , 需 输 入 该 服务 器 工作 的 IP 地 址 。 

@ 网 络 管理 员 邮 件 地 址 。PRTG 支持 多 种 向 网 络 管理 员 报告 网 络 性 能 信息 的 方式 ， 
如 电子 邮件 等 ,所 以 在 安装 过 程 中 ,还 需 输 入 网 络 管理 员 的 电子 邮件 地 址 。 

© 登录 PRTG 的 账号 。PRTG 内 赃 一 个 登录 账号 为 prtgadmin ,口令 为 prtgadmin。 
可 以 在 安装 过 程 中 设置 使 用 其 他 账号 来 登录 PRTG 。 

(2) 配置 PRTG 的 监测 网 络 性 能 

要 在 PRTG 上 监测 网 络 性 能 , 需 完成 以 下 配置 步骤 : 在 PRTG 上 创建 被 管 设备 条 
目 、 选 择 要 监测 的 网 络 设备 性 能 指标 。 

TE PRTG 上 创建 被 管 设备 条 目的 操作 如 下 。 

双击 Windows 桌面 上 的 PRTG 图 标 , 然 后 在 图 7-13 所 示 窗 口中 输入 账号 prtgadmin 
和 口令 登录 PRTG. 

登录 PRTG 后 的 主 窗口 如 图 7-14 所 示 。 单 击 窗口 中 的 Add Sensor(s) Manually 图 
标 ,为 所 要 管理 的 设备 创建 新 的 感应 器 Sensor, 
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PAESSLER 


Forgot your password? 


Performance Tip for IEB users 
PRTG runs up to 10 times faster with Google Chrome and Mozilla Firefox| 


Thank you for using the Freeware Edition of PRTG Network Monitor 


PRTG Network Monitor 
me Dewes [Sensors Alarm Maps — Reports Logs 一 


Get Help and Support 
8M 


7-14 PRTG 主 窗口 


在 接 下 来 的 图 7-15 所 示 的 PRTG 窗口 中 , 先 选中 Create a new Device 单 选 按钮 , 然 
后 单 击 Continue T £l ,为 被 管 设 备 创建 一 个 设备 条 目 。 
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Go 


[@reininzroayadisensorohm EC3P3| 


Help: Adding Sensors 
Monitonng is pertomed by senses PRTG. Senses use various settings e. the P ares trom tei paren devices. This means that before you can rete 
sensors you must first create a device to hold the new 


© Crente a new Device 


© Add sensor to an existing device 


am- 


图 7-15 新 创建 设备 窗口 


由 于 PRTG 将 被 管 对 象 进行 分 组 管理 ,所 以 还 需 在 图 7-16 所 示 窗 口中 ,选中 Create 
a new Group 单 选 按 钮 ,然后 单 击 Continue 按钮 ,选择 新 建 一 个 组 。 


ree) 


Brosamoaresiseeeorn "Ja[e[x]fe aw 


图 7-16 新 建 组 窗口 


PRTG 接 下 来 显示 图 7-17 所 示 的 窗口 ,为 组 配置 默认 属性 。 例 如 ,与 管理 代理 程序 
通信 使 用 的 SNMP 共同 体 名 .SNMP 协议 版 本 、 通 信 端 口 等 。 


完成 组 的 创建 操作 后 ,PRTG 会 显示 图 7-18 所 示 的 组 列表 窗口 ,在 其 中 选择 新 创建 
的 组 , 单 击 该 组 下 面 的 Add Device 按钮 ,将 进入 图 7-19 所 示 的 创建 新 设备 条 目 窗 口 。 
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PRTG Network Monitor 
Maps Repos Logs ToDo E 


| [vesc Probe 


(Io i the probe detas page. Using the tab control you can ew vanous data of this object as weli at edt the objet settings. 


Overview | 2 days | 30 dom | 365 dar | Alarms | 109 | 


boca probe 
Prony zum 
Group Root 
[sensors bystate ak? fot 


© Local probe (Local Probe on 127.0.0.1) 
| Probe Device idi d 
= 1st group (visible to all user accounts) 


[E BE Response Time Inger re 
HE tera index BE Traffic Index pd 


图 7-18 在 组 中 添加 新 设备 


Pas 
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在 图 7-19 所 示 窗 口中 ,必须 配置 的 是 SNMP 通信 属性 。 取 消 选中 Inherit 
Credentials for SNMP Devices 复 选 框 ,并 在 展开 的 窗口 中 ,输入 与 管理 代理 程序 通信 使 
用 的 正确 的 SNMP 共同 体 名 ,然后 单 击 Continue 按钮 即 可 创建 新 设备 条 目 。 


————— ee 
GO = [0 bttos127.00:/adddevice md-2023 =] 8] 4] x || am Pe 
ZA RE) BBY SEARA IAM WDH 
PI | @ PRTG Network Monitor (HAPPY-PC) | Add D... 


Add Device to Group Grp-C2960-1 


Help: Add a new device 


i Pave toe sensor eme der ach ar mar in rots, Ris wher wl rer yad rs of oddhod nn nc to We 
Group. First please enter name and IP address. Afterwards please choose a device type and enter authentication settings f 


Device Name and Address 
Dence Name En ] 
m——— 19216611 n 
Tags 
Dese on eecaca ewer oremcecg 
CAC aC OAcSBcococeac a 
cBcacacegcacsxcmca 
昌国 个 国 
Device Type 
Sensor Management © Manon no sue dco] 


C Automatic device identification (standard, recommended) 
C. Automatic device identification (detailed, may create many sensors) 
C. Automatic sensor creation using specific device templates} 


VV. Inherit Credentials for Windows Systems from Grp-C2360- (Domain or Computes Name: «empty», Username: <empty>) 
© Inherit Credentials for VMware Servers from Gip-C2960-1 (User <empty>) 


T Inherit Credentials for SNMP Devices. ree ec ate Re neret ie vee cate 


ir ven am 
Cue 
cs 
EE e 
seres i 
m" n 
NN 


图 7-19 定义 新 设备 相关 属性 


完成 设备 条 目 创建 后 ,需要 创建 探测 器 Sensor, 才 能 监测 网 络 设备 上 接口 、 链 路 的 性 
能 配置 。 在 图 7-20 所 示 组 列表 窗口 中 ,选择 设备 条 目 , 单 击 其 右 侧 的 Add Sensor 按钮 可 
以 为 其 创建 Sensor。 

在 创建 Sensor 窗口 中 ,在 SNMP 选项 卡 中 ,选择 创建 使 用 SNMP 协议 获取 信息 的 探 
测 器 。 注 意 , 由 于 Cisco 网 络 设备 使 用 其 自己 扩展 的 MIB, 所 以 要 在 SNMP 探测 器 区 域 
中 选中 SNMP Library 单 选 按钮 ,选择 探测 器 使 用 的 MIB, 如 图 7-21 所 示 。PRTG 附带 
了 两 个 Cisco MIB ,一 个 是 Cisco Interface MIB , 另 一 个 是 Cisco Queue MIB。 选 择 Cisco 
设备 默认 支持 的 Cisco Interface MIB. "iid; Continue to step 2 按钮 ,连接 网 络 设备 。 
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| CS 


‘Local probe (Loca! Probe on 127 0. 
E Local probe Local Probe on 1270... 
LT 


? Common Sensors The most common sensor types for network monitoring 
^ Bandwidth Monitoring. Bandwidth usage monitoring (SNMP, Packet Sniffing NetFlow, sFiow) 
> Web Servers (HTTP, HTTPS) Seniors based on the HTTP protocol 
- Sensors based on the Simple Network Management Protocol (SNMP) 


 Monitonng for computers running Windows using Windows Management Instrumentation (WMI) 
Sensor types for various services used in LANs and WANs (PING, PORT, FTP, DNS, RDP, etc.) 
Maii server sensors (SMTP, POP3, IMAP) 

SQ server manaonng (MySQL MS-SQL and Oracle) 

Monitoring of file servers, NASs, etc. 

Sensors for virtualized envwonments (VMWare, Hyper-V, and Amazon ECZ) 

Sensor types used to monitor VoIP and QoS (eg, P-SLA) 

‘Various sensor types that enable you to define your own sensor scripts 

A complete bt of all sensors 


Havent found what you neea? 
LES Find more custom sensors online: 


图 7-21 定义 探测 方式 


在 PRTG 使 用 正确 的 SNMP 共同 体 名 连接 到 网 络 设备 后 ,会 显示 图 7-22 所 示 的 窗 
口 , 供 管理 员 选 择 要 探测 的 配置 信息 。 该 窗口 中 显示 在 网 络 设备 MIB 中 的 被 管理 对 象 信 
息 条 目 , 如 if index, 即 网 络 设备 接口 的 索引 号 。 在 图 7-22 所 示 窗 口中 选择 想 要 监测 的 网 
络 设备 信息 条 目 , 单 击 窗口 下 方 的 Continue 按钮 , 则 PRTG 会 根据 所 选 生成 相应 的 探测 
数据 ,显示 在 图 7-23 所 示 窗 口中 。 一 条 被 监测 设备 的 信息 条 目 被 称 为 一 个 Sensor。 
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‘rar a tof ap not cae seite for ng 
‘purposes (eg me top 1 t cie mese u9 Use 
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evan irt nee 


‘We BR | PRTG Network Monitor (HAPPY-PC) | Device | 


(ir to001/ Pauned Not idis 
admin status Ueensed 
(Sensor nat 
censed 
2 i000 Paned Not 
| tet icensed 


cen m 


TITTEN 
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e m 
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er 
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图 7-23 PRTG 监控 到 的 网 络 设备 信息 
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在 图 7-23 所 示 窗 口中 , 单 击 被 监测 的 探测 器 , 则 会 打开 图 7-24 所 示 窗 口 , 显 示 该 探 
测 器 监测 到 的 探测 数据 。 通 过 这 些 探 测 数据 ,可 以 了 解 网 络 接 口上 的 数据 流量 变化 ,并 根 
据 其 应 有 的 指标 阔 值 ,确定 网 络 是 否 出 现 了 拥塞 .断路 等 情况 。 


Qi» w/v 


EEICIESIEEZ] P ~| 
. XAD SED SEV 4G) IAD ME) 
OUR (Ð PRTG Network Monitor (HAPPY-PC) | Sensor... 
FEX TENIS. LN [opm eer a DONI 


[Home [Devices “Semon Moms [Maps Reports [topt 
Sensor if: 10001/if in octets 
Toma > Grice > [1> Op- CEE > CEO > LBL oema 
Helo Sensor Detais A 
This is the sensor deals pape. Using the tab control you can view vanous data of this sensor as well as edi the sensor's settings- 
Overview | Live Data || 2days | 30 days | 385 days | HistonieData | Log A Settings) A Mounications] a channes| — @ || 3 
i e E in. E Sensor fr 1000 18€ in octets (Live Graph, 2 hour) 
{Sensor name lw 100017 octets QD 2026) pa ts 
‘ype tena SNMP Uray 60s) = * 
Lr: 二 
Parent Probe itai probe toc Probe on 1270 
| Parent Group. 'Grp-<23603 Em 
Parent Dewce mesei 
Status H 
| E RP 
(Last message ox H M 
[ast Resa mon Li a 
Imo 29001017 222558 2 + 292% Downtime c 
ese -— a Semen M0 in tuti (2 day) 
|Last Down - 2H (COROT 
Uptime 100.0000% 7 mi na ua 
Downtime p 


|UblimeDowntimeTota 7 m [=100% coverage] 
[Uptime Coverage Since — 3091017 2248:54 7 m 2 s ago) 


Channels 
[Channel = [Last Value volume] ust Value üpeedi 
[itin octets 10,925 1820/7 


图 7-24 探测 器 详细 信息 


7.6.3 网 络 服务 质量 与 网 络 性 能 保证 

当 网 络 性 能 不 能 满足 网 络 需 求 时 ,可 以 根据 具体 情况 来 对 网 络 进行 优化 .调整 。 而 网 
络 服务 质量 可 以 通过 以 下 手段 在 一 定 程 度 上 解决 网 络 延 迟 .抖动 和 丢 包 等 问题 。 

CD 通过 对 数据 报 文 进行 标记 和 分 类 ,使 得 网 络 设备 可 以 区 分 不 同 优先 级 的 通信 流 

(2) 通过 调整 使 用 的 流量 调节 策略 ,可 以 为 特定 的 通信 需求 提供 更 适合 的 通信 流量 
控制 方式 。 

(3) 可 以 将 已 经 超过 特定 阔 值 的 通信 流标 记 为 优先 。 

(4) 可 以 将 超过 特定 速率 阔 值 的 通信 流量 丢弃 ,以 避免 拥塞 。 

1. 网 络 服务 质量 模型 

IP 网 络 提供 的 是 尽力 传输 的 服务 ,目前 在 IP 网 络 中 使 用 的 两 种 QoS 体系 模型 是 集 
成 服务 体系 结构 (Integrated Services Architecture. InServ) 和 区 分 服务 体系 结构 
(Differentiaed Services Architecture. DiffServ) 。 

(1) 集成 服务 体系 结构 。InServ 也 称 为 硬 QoS, 是 一 种 严格 预定 的 服务 ,使 用 资源 预 
留 协 议 (Resource Reservation Protocol,RSVP) 实 现 。 使 用 InServ 则 意味 着 所 有 中 间 系 


/254 
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统 和 资源 都 显 式 为 通信 流量 提供 预定 的 服务 。 
(2) 区 分 服务 体系 结构 。DiffServ 也 称 为 软 QoS, 即 不 进行 严格 预定 ,而 是 以 类 别 为 
基础 对 流量 进行 处 理 。 某 些 类 别 的 通信 流量 将 优先 于 其 他 类 别 的 通信 流量 得 到 处 理 。 


2. 网 络 服务 调度 算法 


在 IP 网 络 中 ,网 络 设备 使 用 缓冲 区 和 队列 来 处 理 通信 数据 ,QoS 可 以 通过 不 同 的 队 
列 管理 ,调度 机 制 来 调整 通信 流量 被 处 理 的 方式 。 表 7-9 显示 了 常见 的 队列 管理 机 制 。 


表 7-9 队列 管理 机 制 


排队 机 制 


说 明 


先进 先 出 FIFO(First In First 
Out) 


所 有 人 站 数据 被 加 入 到 同一 队列 中 ,先进 先 出 ,所 有 数据 包 都 是 同一 
类 别 。 这 是 Cisco 网 络 设备 默认 的 队列 管理 机 制 


加 权 循 环 WRR ( Weighted 
Round Robin) 


数据 包 被 配置 不 同 的 权重 值 ,权重 值 越 大 ,优先 级 越 高 ,发 生 拥塞 时 ， 
网 络 设备 根据 不 同 权重 值 分 配 不 同 的 带宽 比例 


优先 级 排队 


对 于 出 站 数据 根据 优先 级 进行 调度 ,网 络 设备 将 优先 处 理 严格 优先 级 
队列 ,然后 才 处 理 其 他 队列 中 的 数据 


整形 循环 SSR 排队 (Shaped 
Round Robin) 


3. QoS 的 配置 


整形 循环 排队 机 制 中 ,分 为 整形 和 共享 两 种 模式 。 

整形 模式 下 ,网 络 设备 对 数据 流量 的 处 理 类 似 于 限 速 ,出 站 流量 均 不 
能 超过 指定 速率 。 共 享 模式 下 ,网 络 设备 按 比 例 限 制 数据 流 的 带宽 ， 
但 在 其 他 队列 没有 出 站 流量 的 情况 下 ,单个 队列 可 以 占用 整个 带宽 


在 Cisco Catalyst 交换 机 上 配置 QoS 的 步骤 如 表 7-10 所 示 。 
表 7-10 Cisco Catalyst 交换 机 配置 QoS 的 基本 步骤 


序 号 操 fF 相关 命令 必要 性 
步骤 1 | 启用 QoS mls qos 是 
创建 类 别 映射 表 , 定 义 哪 些 流量 将 被 | class-map ,ip access-list 等 
步骤 2 | QoS 处 理 是 
创建 策略 映射 表 policy-map 
定义 交换 机 端口 如 何 处 理 人 站 流量 | mls qos cos 
zs 的 COS fft mls qos trust PERIERE 
步骤 4 | 定义 DSCP 映射 mls qos map 是 
步骤 5 oe service-policy input | output 是 
步骤 6 | 定义 端口 上 出 站 流量 的 拥塞 管理 机 制 | wrr-queue 是 
show class-map 
show mls qos aggregate-policer 
步骤 7 | 检查 QoS 配置 show mls qos maps 可 选 
show mls qos interface 
show policy-map 


限于 本 书 篇 幅 , 有 关 路 由 器 QoS 配置 相关 命令 细节 参见 Cisco 技术 手册 。 
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7.7. 模拟 公司 网 络 管理 实现 


受到 网 络 管理 成 本 限制 ,模拟 公司 没有 购买 大 型 网 络 管理 平台 ,而 是 使 用 了 随 网 络 设 
备 附带 的 网 络 管理 工具 和 一 些 网 络 上 免费 的 网 络 管理 软件 对 网 络 进 行 管理 。 

(1) 在 配置 管理 方面 ,使 用 Telnet、SSH 来 实现 配置 的 修改 ,使 用 免费 网 络 拓扑 发 现 
工具 来 对 网 络 拓扑 进行 管理 。 

(2) 使 用 PRTG 监控 .记录 网 络 性 能 变化 ,主要 包括 : 广域网 线路 各 条 线路 的 流量 、 
广域网 线路 的 输入 /输出 情况 ,总 流量 以 及 丢 包 率 、 错 包 率 ,并 在 网 络 设备 上 配置 QoS 保 
证 网 络 视频 会 议 系 统 的 运行 。 

(3) 在 总 部 边界 防火 墙 上 启用 入 侵 检测 ,防御 来 自 公 网 的 入 侵 。 

(4) 定期 对 公司 网 络 进行 安全 审查 ,扫描 网 络 设备 ,节点 等 是 否 存在 安全 风险 。 

(5) 公司 各 机 构 网 络 内 设置 有 日 志 服 务 器 ,用 于 记录 网 络 节点 上 的 关键 事件 。 


7.8 小 结 


网 络 管理 包括 故障 配置. 记 账 性能、 安全 5 项 内 容 。 网 络 配置 管理 可 通过 Telnet , 
SSH 进行 ,也 可 以 通过 专用 网 络 管理 软件 ,利用 SNMP 协议 实现 ; 网 络 故障 管理 分 析 定位 
可 以 使 用 分 层 、 分 段 、 蔡 换 、 比 较 等 方法 进行 ; 网 络 安全 管理 包括 网 络 安全 监测 、 网 络 安全 审 
查 和 网 络 安全 配置 等 方面 ; 网 络 性 能 管理 主要 包括 网 络 性 能 监测 和 网 络 性 能 调整 两 方面 工 
作 。 网 络 管理 软件 可 以 通过 驻 留 在 网 络 设备 上 的 网 络 管理 代理 获得 网 络 设备 性 能 状态 。 


7.9 习题 


. 简 述 网 络 故障 排查 定位 的 方法 。 

简 述 采集 网 络 性 能 指标 的 方法 。 

简 述 网 络 性 能 管理 中 有 哪些 常用 评价 指标 。 
. 简 述 什么 是 MIB. 

. 简 述 QoS 的 InServ 和 DiffServ 模型 。 


a F wn 


7.10 Sill 


1. 实 训 组 织 
实 训 学 时 : 200 分 钟 。 
学 生 分 组 : 2 人 /组 。 
2. 实 训 目的 


CD 通过 实 训 ,熟练 掌握 为 网 络 设备 配置 Telnet 访问 ,并 使 用 Telnet 对 设备 进行 远 
程 管理 配置 的 操作 。 
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(2) 通过 实 训 , 熟 练 掌握 故障 排查 定位 方法 。 
(3) 通过 实 训 ,掌握 在 防火 墙 上 配置 网 络 入 侵 检测 与 防御 的 操作 方法 。 
(4) 通过 实 训 ,掌握 网 络 设备 记录 日 志 的 配置 方法 ,培养 通过 日 志 发 现 网 络 问题 的 


能 力 。 
C5) 通过 实 训 ,熟练 掌握 使 用 PRTG 监控 网 络 性 能 的 方法 。 
3. 实 训 环境 


A) 安装 有 Windows 系统 .网络 服 务 软件 (例如 KAMPP) 网络 攻击 软件 (例如 Smurf 
4) Syslog 服务 软件 的 PC ,每 组 3 台 。 

(2) Cisco PIX 防火 墙 ,每 组 1 台 。 

(3) Cisco 路 由 器 ,每 组 1 台 。 

(4) UTP 交叉 电缆 ,每 组 4 条 。 

(5) Console 电缆 ,每 组 1 条 。 

注意 保持 防火 墙 等 网 络 设备 为 出 厂 配 置 。 

4. 实 训 准备 

按照 图 7-25 所 示 连 接 网 络 设备 ,搭建 实 训 环 境 。 该 网 络 拓扑 为 模拟 公司 网 络 简化 而 
成 ,省 略 了 部 分 与 实 训 内 容 无 关 的 网 络 设备 。 


1 BAM Pee 

1 7 x 
1 e4 me! 1 边界 路 由 器 1 
1 jy, ide | 1 

Ath 

! L1 inside vi outside : QA T | 
1 1 Fa0/1 Fa0/0 [ ET! 
| PCa 4 1 1 ner c 
1 el 1 ` 分 支 机 构 A-1 y 
1 ji C*eeeeLecetldeeceie—e 
i dmz 1 
1 [ 
1 1 
1 PCb |. 
1 [ 
1 1 
s 


图 7-25 网 络 管理 实 训 拓扑 


该 网 络 中 IP 地 址 分 配 如 表 7-11 所 示 。 其 中 PCa 和 PCc 用 于 分 别 模拟 各 自 网 络 中 的 
日 志 服 务 器 以 及 主机 。 在 实 训 开 始 前 ,实验 室 教 师 需 按 表 7-11 配置 好 网 络 连接 和 路 由 。 


表 7-11 网 络 管理 实 训 地 址 分 配 


#& a IP 3& Sik / Fd £i Bi 4t 网 关 
PCa( 模 拟 内 网 主机 、 日 志 服务 器 ) 200. 100. 8. 122/30 200. 100. 8. 121/30 
PCb( 模 拟 FTP 服务 器 ) 200. 100. 8. 28/27 200. 100. 8. 30/27 
PCc( 模 拟 外 网 主机 、 日 志 服务 器 ) 200. 100. 15. 198/30 200. 100. 8. 121/30 
防火 墙 e0 接口 (outside) 200. 100. 8. 126/30 
防火 墙 el 接口 (dmz) 200. 100. 8. 30/27 
防火 墙 ed 接口 (inside) 200. 100. 8. 121/30 
路 由 器 Fa0/0 200. 100. 8. 125/30 
路 由 器 Fa0/1 200. 100. 15. 197/30 
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5. 实 训 内 容 

(1) 配置 网 络 设 备 Telnet 访问 许可 ,并 使 用 Telnet 对 设备 进行 远程 管理 。 
(2) 网 络 入 侵 检测 配置 。 

(3) 使 用 PRTG 监控 网 络 性 能 。 

(4) 为 网 络 设备 记录 日 志 。 

(5) 故障 排查 定位 。 


6. 实 训 指导 

(1) 配置 网 络 设备 Telnet 访问 许可 ,并 使 用 Telnet 对 设备 进行 远程 管理 。 在 分 支 机 
构 边界 路 由 器 和 总 部 防火 墙 上 分 别 配 置 Telnet 访问 许可 ,并 使 用 PCa、PCb、PCc 登录 各 
网 络 设备 ,测试 能 否 对 网 络 设备 进行 配置 。 

在 分 支 机 构 边 界 路 由 器 上 的 参考 配置 操作 如 下 。 

al(config)#enable secret 123 

al(config) # line vty 0 4 

al(config-line) # password 123 

al(config-line) # login 

al(config-line) # 


在 总 部 防火 墙 上 的 参考 配置 操作 如 下 。 


zbfw(config) # telnet 200.100.8.122 255.255.255.255 inside 
zbfw(config) # passwd 123 
zbfw(config) # enable password 123 


(2) 为 网 络 设备 记录 日 志 。 启 用 分 支 机 构 边界 路 由 器 和 总 部 防火 墙 上 的 日 志 记录 功 
能 ,分 别 在 PCa, PCc 上 启动 Syslog 服务 器 记录 日 志 信息 。 

在 分 支 机 构 边界 路 由 器 上 ,参考 配置 操作 如 下 。 

al(config) # logging on 


al(config) # logging host 200.100.15.198 
al(config) # logging trap informational 


在 总 部 防火 墙 上 ,参考 配置 操作 如 下 。 


zbfw(config) # logging enable 

zbfw(config) # logging host inside 200. 100.8, 122 

zbfw(config) # logging trap informational 

有 关 日 志 服 务 器 配置 参考 本 书 7. 5.5 小 节 。 

(3) 网 络 人 侵 检测 配置 。 在 总 部 防火 墙 上 配置 入 侵 检测 与 防御 ,并 分 别 在 PCa, PCCh, 
PCc 上 和 运行 攻击 软件 ,攻击 对 方 网 络 中 的 主机 。 检 查 防 火 墙 的 入 侵 检测 与 防御 是 否 起 到 
作用 。 

在 总 部 防火 墙 上 ,配置 入侵 检测 与 防御 参考 配置 操作 如 下 。 


zbfw(config) &ip audit name attids attack action alarm reset 
zbfw(config) & ip audit name inforids info action alarm 
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P4 zbfw(config) & ip audit interface outside attids 

zbfw(config) ip audit interface dmz  inforids 

zbfw(config) #ip audit interface inside inforids 

有 关 网 络 攻击 参考 本 书 第 2.3 章 部 分 内 容 。 

(4) 使 用 PRTG 监控 网 络 性 能 。 在 分 支 机 构 边 界 路 由 器 和 总 部 防火 墙 上 配置 
SNMP 代理 ,在 PCb、PCc 上 运行 PRTG 监控 路 由 器 和 防火 墙 的 接口 流量 变化 。 在 PCa 
上 通过 浏览 器 从 PCb、PCc 上 使 用 FTP 下载 大 文件 ,观察 网 络 设备 接口 流量 信息 的 变化 。 

在 分 支 机 构 边 界 路 由 器 上 ,参考 配置 操作 如 下 。 

al(config) # snmp-server community al-pub 


al(config)# snmp-server host inside 200.100.15.198 al-pub 
al(config) # snmp-server enable traps 


在 总 部 防火 墙 上 ,参考 配置 操作 如 下 。 


zbfw(config) # snmp-server community zb-pub 

zbfw(config) # snmp-server host inside 200. 100.8.122 zb-pub 

zbfw(config) # snmp-server enable traps 

fi X PRTG 配置 参考 本 书 7.6.2 小 节 。 

Co 故障 排查 定位 。 通 过 网 络 攻击 ,物理 破坏 .错误 配置 等 方式 ,分 别 设置 网 络 服务 、 
网 络 路 由 、 网 络 链 路 、 网 络 线路 4 种 故障 ,提供 给 学 生 进行 排查 。 


7. 实 训 报告 


1. 根据 实验 指导 配置 。 
能 在 PCc 上 使 用 Telnet 远程 登录 到 防火 墙 吗 ? HO KEO 为 什么 ? 
能 在 PCb 上 使 用 Telnet 远程 登录 到 防火 墙 吗 ? 能 口 不 能 口 为 什么 ? 


2. 在 配置 完 日 志 记录 后 ,分 别 在 PCa, PCb, PCc 上 使 用 网 络 攻击 软件 发 动 攻击 ,记录 在 日 志 服 务 器 上 
的 相应 记录 。 
PCa 攻击 PCb 时 的 日 志 记录 : 


PCb 攻击 PCc 时 的 日 志 记录 : 


PCc 攻击 PCa 时 的 日 志 记录 : 
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续 表 


3. 在 配置 完 日 志 记 录 和 人 侵 检测 后 ,分 别 在 PCa.PCb.PCc 上 使 用 网 络 攻击 软件 发 动 攻击 ,记录 在 日 
志 服 务 器 上 的 相应 记录 。 
PCa 攻击 PCb 时 的 日 志 记录 : 


PCb 攻击 PCc 时 的 日 志 记录 : 


PCc 攻击 PCa 时 的 日 志 记录 : 


A. 在 路 由 器 和 防火 墙 上 配置 SNMP 代理 ,并 在 PCa、.PCc 上 配置 PRTG, 监 测 并 记录 路 由 器 和 防火 墙 
的 接口 流量 信息 。 


路 由 器 接口 Fa0/1 上 的 人 站 流量 : 平均 值 最 大 值 
防火 墙 接口 inside 上 的 人 站 流量 : 平均 值 最 大 值 
防火 墙 接口 outside 上 的 人 站 流量 : 平均 值 最 大 值 
防火 墙 接口 dmz 上 的 人 站 流量 : 平均 值 最 大 值 


5. 在 PCb 上 运行 网 络 攻击 软件 ,并 在 PCa, PCe 上 分 别 从 对 方 服务 器 上 使 用 FTP 服务 下 载 大 文件 ， 
监测 并 记录 路 由 器 和 防火 墙 的 接口 流量 信息 。 


路 由 器 接口 Fa0/1 上 的 人 站 流量 : 平均 值 最 大 值 
防火 墙 接口 inside 上 的 人 站 流量 : 平均 值 最 大 值 
防火 墙 接口 outside 上 的 人 站 流量 : 平均 值 最 大 值 


防火 墙 接口 dmz 上 的 人 站 流量 : 平均 值 最 大 值 


‘ 


附录 人 


利用 网 络 模拟 器 GNS3 搭建 模拟 实 训 环境 


由 于 使 用 真实 网 络 设备 进行 实 训 成 本 较 高 ,所 以 使 用 网 络 模 拟 器 软件 模拟 网 络 设备 
进行 网 络 实验 就 成 为 一 种 比较 经 济 的 替代 方案 。 目 前 常见 模拟 Cisco 网 络 设备 的 模拟 器 
软件 有 思科 网 络 学 院 的 PacketTracer、Routersim、Boson 实验 模拟 器 和 免费 的 
Dynamips,Pemu,GNS3 等 。 

GNS3(http: / /www. gns3. net) 是 一 款 图 形 化 的 网 络 模拟 器 , 它 集成 了 模拟 路 由 器 的 
Dynamips 和 模拟 Cisco PIX 防火 墙 的 Pemu 模拟 器 软件 ,可 以 使 用 图 形 化 界面 搭建 网 络 
模拟 环境 。Dynamips、Pemu 的 优点 是 直接 使 用 Cisco 网 络 设备 的 IOS 映像 文件 进行 模 
拟 , 操 作 更 真实 。 

GNS3 可 以 模拟 路 由 器 、 防 火 墙 :但 对 PC 和 交换 机 的 模拟 功能 较 差 。 

如 果实 训 环境 需要 多 台 PC, 则 可 以 安装 虚拟 PC 模拟 器 来 辅助 GNS3 解决 问题 。 
Virtual PC Simulator 软件 是 一 款 开 源 PC 模拟 软件 ,可 以 模拟 9 台 虚 拟 PC, 并 支持 对 这 
些 PC 配置 下, 运行 ping \traceroute 命令 等 。 通 过 虚拟 PC 模拟 器 Virtual PC Simulator 
与 GNS3 的 cloud 图 标 结合 ,可 以 实现 在 GNS3 中 模拟 多 台 虚 拟 PC。 

GNS3 中 不 支持 交换 机 的 模拟 ,但 可 以 使 用 带 交 换 模块 的 37003600 系列 路 由 器 来 
模拟 部 分 交换 机 功能 。 


A.1 安装 并 配置 GNS3 初始 环境 


A.1.1 安装 GNS3 

安装 GNS3 的 操作 非常 简单 ,首先 从 GNS3 官方 网 站 http://www. gns3. net/ 
download 下 载 GNS3 模拟 器 软件 ,例如 GNS3-0. 6. 1-win32-all-in-one. exe; 然后 打开 
Windows 资源 管理 器 ,找到 下 载 的 GNS3 模拟 器 软件 .双击 进行 安装 。GNS3 需要 
Winpcap 支持 ,所 以 安装 过 程 中 会 提问 是 否 安装 该 软件 ,按照 默认 选项 安装 即 可 。 

注意 : GNS3 不 支持 中 文 目 录 名 ,文件 名 ,所 以 一 定 要 将 GNS3 所 有 工作 目录 、 相 关 
文件 名 设置 为 英文 。 
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A.1.2 配置 GNS3 初始 环境 

GNS3 安装 后 需要 重新 启动 操作 系统 ,才能 正常 运行 。 

1. GNS3 初始 配置 窗口 

GNS3 启动 后 会 出 现 图 A-1 所 示 初 始 配置 提示 窗口 。 该 窗口 提示 要 使 用 GNS3, 需 
要 完成 两 步 操 作 : 第 1 步 ,配置 GNS3 运行 参数 ; 第 2 步 ,导入 网 络 设 备 IOS。 单 击 回 按 
钮 ,进入 GNS3 运行 参数 配置 ; 单 击 回 按 钮 进入 导入 网 络 设备 TOS 操作 。 


* Setup Wizard [9 jim 


Step 1 


Configure and test the path to 
Dynamips. Also check that 
the working directory is valid. 


2 Add one or more uncompressed 
IOS images. 


图 A-1 GNS3 初始 配置 窗口 


2. 配置 Dynamips、Pemu 等 运行 环境 参数 

如 前 所 述 ,GNS3 结合 了 Dynamips, Pemu 等 软件 功能 ,所 以 在 安装 GNS3 后 需要 配 
ft Dynamips、Pemu 等 运行 环境 参数 。 在 图 A-1 所 示 初 始 配置 窗口 中 单 击 回 按钮 ,或 在 
GNS3 主 窗 口中 选择 Edit| Preferences 命令 ,都 可 以 进行 GNS3 运行 参数 配置 。 

如 图 A-2 所 示 ,GNS3 运行 参数 配置 包括 4 部 分 : 一 般配 置 `.Dynamips 配置 、Pemu 
配置 .Capture 配置 。 

在 GNS3 一 般配 置 中 ,可 以 选择 软件 “语言 "为 “简体 中 文 ”, 以 便于 使 用 。 

另外 ,需要 选择 连接 到 模拟 网 络 设备 的 终端 程序 。 在 GNS3 首选 项 窗口 中 ,选择 窗口 
左边 列表 框 中 的 “一 般 ” 选 项 ,在 右边 “终端 命令 "文本 框 中 输入 C:\Program Files\Putty\ 
putty. exe -telnet %h %p, 让 GNS3 模拟 器 调用 Putty 软件 访问 虚拟 网 络 设备 ,从 而 可 以 
在 终端 窗口 中 对 虚拟 网 络 设备 进行 配置 。 当 然 ,Putty 软件 需要 提前 安装 好 。 

在 Pemu 配置 中 ,需要 为 Cisco PIX 防火 墙 配置 默认 IOS 映像 文件 .序列 号 和 KEY, 
如 图 A-3 所 示 。 
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General Settings 
语言 - 


(ibe oe) 


Launch the project dialog at startup 


fuas 

C:\Program Files\Putty\putty. exe -telnet Xh 知 

回 使 用 系统 默认 的 shel1 执 行 该 命令 
路 径 
工程 目录 
C:\th\gnsS\ayproj Gam 
I0s/PIXOS BR 
Ci Wsers\ th\AppDate\Local \Temp =) 
配置 文件 


C: /Users/th/AppData/Roaming/gns3. ini 


(o Eee [Lain .] 


图 A-2 GNS3 运行 环境 参数 配置 窗口 
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[Pemu 
Fenurrapper 
BE enurraper. ex 用 于 vinaovz, GF pemurrayper py): 
C \Program Files\GHSS\penunrapper. exe GE 
im 


工作 目录 

C:\Wsers\th\AppData\Local \Tenp: 

ET a BSH 
到 
Lu ES 

当 导 入 时 使 用 Fe 管理 器 

外 部 penurrapper 主 机 地 址 : 


Burniga 
D C MB nS DS ab- ios\pix722 bin 7| 
Eey: OxabO46cef, 0xT4ae8669, Oxb Ol ec9, 0x84514911 


Seid: [9-711773 


Base flash (optional): 


图 A-3 Pemu 运行 环境 配置 窗口 
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Dynamips 和 Capture 运行 环境 可 以 使 用 默认 配置 ,不 用 更 改 。 
3. 添加 各 网 络 设备 IOS 映像 文件 


在 GNS3 初始 窗口 中 , 单 击 回 按钮 ,或 者 选择 “编辑 ”|“IOS 和 Hypervisors” 命 令 ,都 
可 以 打开 图 A-4 Brzs "IOS 和 Hypervisors” 窗 口 ,为 实验 模拟 的 网 络 设备 导入 所 需 的 TOS 
映像 文件 。 


osmpovos A EY 
| 5 res) 
E 
10s | Model/Chassis 
localhost:C:\th\gns3\l0S\c3660-jk903s-mz.123-6a.bin 3660 
E Wopervisers 
m 使 用 opervi sor EE 


IDLE FC: 


默认 EAIL ome H 


团 RENE PARATOS 
mo [meo [a 


A-4 导入 IOS 映像 文件 窗口 


在 图 A-4 中 的 “平台 ”下 拉 列 表 框 中 ,选择 需要 配置 的 设备 系列 号 。 在 “型 号 "下拉 列 
表 框 中 ,选择 需要 配置 的 设备 型 号 。 单 击 *IOS 文件 ”文本 框 右边 的 Cj 按钮 ,找到 并 选 
中 相应 的 TOS 映像 文件 , 单 击 “打开 ?按钮 确定 返回 ,为 所 选 设备 配置 TOS 映像 文件 。 

Sidi Bi Ze Por © 按钮 ,保存 配置 。 此 时 在 窗口 上 方 的 IOS 列表 框 中 会 出 
现 所 配置 的 TOS 映像 文件 。 


A.2 使 用 GNS3 模拟 网 络 设备 进行 实验 


使 用 GNS3 模拟 网 络 设备 的 操作 非常 简单 。 

在 图 A-5 所 示 主 窗口 中 ,用 鼠标 拖 动 左边 的 网 络 设备 图 标 到 中 间 窗 口 ,然后 右 击 网 
络 设备 ,在 弹出 的 快捷 菜单 中 选择 其 开始 命令 ,启动 设备 。 

Hik GNS3 窗口 快捷 栏 上 的 总 | 按钮 ,在 弹出 窗口 中 选择 连接 线 缆 类 型 ,如 图 A-6 所 
示 。 此 时 总 | 按钮 的 图 标 变 为 鲜 | .鼠标 变 为 十 字形 。 

用 鼠标 分 别 单 击 要 连接 的 两 个 网 络 设备 ,可 以 将 网 络 设备 连接 起 来 。 

单 击 图 A-5 所 示 GNS3 主 窗口 中 的 国 按钮 .打开 网 络 设备 终端 窗口 , 即 可 对 网 络 设 
备 进 行 配 置 。 
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图 A-5 GNS3 主 窗口 
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图 A-6 连接 线 缆 类 型 菜单 
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